WikiLeaks publiceert twee nieuwe macOS-hacks CIA

Door: Raymon Mens - 6 reacties

WikiLeaks gaat onder de noemer Vault 7 door met gelekte documenten van de Amerikaanse Central Intelligence Service (CIA) publiceren. Een recente dump bevat info over twee Mac-hacktools die door de inlichtingendienst gebruikt worden om Macs over te nemen.

Het gaat om tools genaamd Achilles en SeaPea. Ze maken geen gebruik van onbekende kwetsbaarheden in macOS, maar weten wel op ingenieuze wijze onder de radar te blijven.

Besmette DMG-bestanden door Achilles

Achilles is een tool die de CIA gebruikt om DMG-bestanden met malware te besmetten. Deze bestanden worden vaak gebruikt bij het installeren van software. De tool bundelt malware met legitieme DMG-bestanden. Het ingenieuze is dat de malware, nadat deze is geïnstalleerd, automatisch verwijderd wordt en het DMG-bestand weer schoon is. Dit verkleint de kans dat anti-virusprogramma’s de malware detecteren.

Er worden geen nieuwe of oude lekken in macOS gebruikt. De gebruiker moet zijn wachtwoord invoeren om besmetting mogelijk te maken. Het slimme is echter dat de malware samen met de installatie van een nieuwe applicatie geactiveerd wordt. Daarbij wordt vaak naar een wachtwoord gevraagd om de app te kopiëren en de gebruiker zal geneigd zijn dit in te typen. Achilles bevat zelf geen malware, maar is een manier om spionagesoftware op een Mac te installeren.

Schermafbeelding 2017-08-07 om 10.03.31
Klik/tap voor groter.

SeaPea rootkit

SeaPea is een rootkit voor Mac-systemen. Eenmaal geïnstalleerd kunnen CIA-medewerkers op de achtergrond meekijken en allerlei acties uitvoeren zoals het downloaden van bestanden, en monitoren van aanslagen. Uit de documenten blijkt dat dit geen software die snel op een Mac geïnstalleerd is. Fysieke toegang is vereist, maar eenmaal geïnstalleerd weet SeaPea zich goed verborgen te houden. Er wordt ook een versleutelde verbinding naar de CIA gebruikt. Alleen een update van macOS deactiveert de rootkit.

mac-malware-zw-16x9
Klik/tap voor groter.

De documenten waar WikiLeaks naar verwijst, dateren van 2011. De malware werkte destijds met de laatste OS X-versies, maar het is onbekend of deze ook met recente macOS-versies werkt. Al met al is het vooral een interessant kijkje in de keuken bij de CIA, maar niet iets om je als Mac-gebruiker direct zorgen over te maken.

Reacties

6 reacties
  • Profielfoto
    sciletto

    Ik probeer wel 1 ding zeker te weten.

    Het slimme is echter dat de malware samen met de installatie van een nieuwe applicatie geactiveerd wordt. Daarbij wordt vaak naar een wachtwoord gevraagd om de app te kopiëren en de gebruiker zal geneigd zijn dit in te typen

    Als je nou bijv nee zegt tegen het 64,4 mb bestand op de foto en je installeert daarna final cut pro uit de store of adobe van het web, installeert hij dan de hacktool wel?

  • Profielfoto
    MentalT

    Maar is er ook een manier om te zien of we besmet zijn door deze hacks??

  • Profielfoto
    pruus

    Eigenlijk zijn het allemaal kloothommels.

  • Profielfoto
    steveb

    @pruus gelukkig is wikkieaks er nog om die smeerlapperij bloot te leggen

  • Profielfoto
    Barika Cala Saidah

    Helden!

  • Profielfoto
    DBLCreations

    Idd @Steveb. Ik denk dat er zodanig veel gekeken wordt in onze computers dat we het zelf niet eens weten. Zelf al koop je legaal gewoon je software haal je nog smeerlapperij binnen. Ongelooflijk eigenlijk. Maar bon, internet, computer en privacy dat zijn 3 dingen die alvast niet samenhoren… Of je moet helemaal offline blijven natuurlijk :/