CIA heeft al een aantal jaren vele soorten malware voor Mac, maar vandaag heeft WikiLeaks de reeks onthullingen voortgezet Vault 7 met een deel van de malware die door Apple-klanten wordt gebruikt. We hebben het over malware die is ontwikkeld op basis van twee exploits die de CIA uit verschillende bronnen had, en die waren gemaakt binnen een project met de codenaam Imperial binnen het informatiebureau.
De CIA gebruikte dit soort malware om welke applicatie dan ook slechts één keer op de Mac uit te voeren, dus het was blijkbaar een semi-nuttige kwetsbaarheid. Het eerste type malware dat door de CIA is ontwikkeld, draagt deze naam Achilles en met zijn hulp kan elke agent van het bureau een afbeelding openen met bestanden waarmee applicaties slechts één keer kunnen worden uitgevoerd, en dat allemaal zonder dat de gebruiker daadwerkelijk weet wat er op zijn Mac gebeurt.
De CIA legt het uit in de malware-gebruikershandleiding Achilles dat de applicatie die deze malware bevat, moet lijken op een originele Mac-applicatie die door de gebruiker wordt gebruikt. Wanneer die CIA-applicatie wordt uitgevoerd, wordt de originele verwijderd, die met malware op zijn plaats blijft staan, en deze kan misbruik maken van oude versies van OS X, die tot 2010 door Apple zijn uitgebracht.
CIA - nieuwe soorten Mac-malware onthuld
De CIA heeft ook een tweede type malware ontwikkeld, deze heet deze ZeeErwt, een rootkit voor OS X waarmee je in het geheim de computer kon besturen. ZeeErwt het was in staat bestanden en mappen te verbergen, allerlei internetverbindingen tot stand te brengen en verschillende processen te controleren, waarbij toegang tot Mac-gegevens ook mogelijk was voor een CIA-agent zonder dat de gebruiker het wist.
De CIA gebruikte deze malware genaamd ZeeErwt om Macs met OS X 10.7 te exploiteren, maar het werkte alleen als de Mac root-toegang beschikbaar had. De malware van de CIA bleef actief op de Mac van de gebruiker totdat het besturingssysteem opnieuw werd geïnstalleerd of de versie werd bijgewerkt om belangrijke systeembestanden te verwijderen of te wijzigen, waarbij de dienst de toegang verloor.
De CIA beschikte over dit soort software omdat ze deze nodig had om informatie te verzamelen, vooral van doelen buiten de VS, maar de malware werd zeker ook lokaal gebruikt. De CIA heeft het bestaan van deze malware nooit toegegeven, noch die voor de iPhone of iPad, maar zal dat ook nooit doen, hoewel niemand zal geloven dat de dienst nu geen andere software heeft die de software vervangt waarvan de kwetsbaarheden zijn opgelost.
