CIAがMac・Linux用バックドア・ルートキットを設置する3つのハッキングツール開発が暴露されて発覚

WikiLeaksが、CIAで開発されたAppleのmacOSやLinuxを対象に動作する3つのハッキングツールの詳細を記した機密文章を公開しました。これはCIAの極秘諜報作戦の実態を暴露する機密文章「Vault 7」の一部だそうです。

WikiLeaks - Vault 7: Projects
https://wikileaks.org/vault7/#Imperial

3 New CIA-developed Hacking Tools For MacOS & Linux Exposed
http://thehackernews.com/2017/07/linux-macos-hacking-tools.html

今回明らかになったCIAが独自開発していたハッキングツールというのは、「Achilles」「Aeris」「SeaPea」の3つ。

◆Achilles

「Achilles」は、CIAのオペレーターが悪意のあるトロイの木馬アプリケーションと正当なmacOSアプリケーションを組み合わせてディスクイメージインストーラー(.DMGファイル)に組み込むことを可能にするハッキングツール。いわゆるデータバインディング用のツールで、シェルスクリプトはBashで書かれています。

macOS端末で感染したディスクイメージインストーラーをダウンロードし、ソフトウェアをインストールすると、悪質な実行ファイルもバックグラウンドで実行されることとなります。その後、Achillesツールの全ての形跡はダウンロードされたアプリケーションから安全に削除されるので、セキュリティ研究者やウイルス対策ソフトウェアに検出されることはない模様。

なお、2011年に開発されたAchillesのバージョン1.0はMac OS X 10.6でテストされたそうです。

◆SeaPea

「SeaPea」は Mac OS X用のルートキットで、重要なファイルやプロセス、ソケット接続を隠し、ターゲットに気づかれないようにMacにアクセスできるようにするツールです。ルートキットはターゲットのMacにルートアクセスをインストールする必要がありますが、起動ディスクを再フォーマットしたり感染したMacのOSをアップグレードしない限り削除することはできません。

2011年に開発されたSeaPeaは当時最新のOSであったMac OS X 10.6およびMac OS X 10.7上で動作します。

◆Aeris

3番目のCIAのハッキングツールが「Aeris」で、これはCIAのオペレーター言語で書かれた自動インプラントです。DebianやCentOS、Red HatなどのLinuxディストリビューションと、FreeBSDやSolarisといったUnix系のOS向けに作られた、バックドアを設置するためのツールとのこと。

機密情報によると、自動化されたファイルエクスポレーション、設定可能なビーコン間隔とジッタ、スタンドアロンおよびCollideベースのHTTPS LPサポート、SMTPプロトコルをサポートしており、これらはすべて相互認証によるTLS暗号化通信機能を備えています。

また、AerisはNOD暗号仕様と互換性を持っており、いくつかのWindowsインプラントで使用されているものと同様の構造化されたコマンドとコントロールを提供してくれます。