維基解密：攻擊 Mac/Linux 的CIA三款工具

Achilles——針對 OS X DMG 鏡像的後門工具

這款工具可以讓 CIA 工作人員將捆綁惡意木馬的合法 Mac OS 應用植入到 DMG 文件中。這個工具的 shell 腳本用 Bash 寫成，可以進行一次性命令執行，依據操作者意願執行一份或多份指定的可執行文件。

一旦警惕性不高的用戶在自己的蘋果電腦上下載了被感染了惡意代碼的 DMG 應用，而且將其打開並安裝，那麼可執行的惡意文件就可以在後台運行（一次性命令執行）。此後， Achilles 會從所捆綁的應用文件中「安全地移除」payload，讓該應用看起來與正常、未受感染的應用「絕無二致」。這樣一來，掃描軟體和殺毒軟體就很難檢測到原始感染向量。美國網路情報機構常常使用一次性命令執行的做法，這樣可以長期隱藏在被入侵的設備中，避開檢測。

Achilles 1.0 版本在2011年就已經開發出來，不過只在 Mac OS X 10.6 版本上測試過。 Mac OS X 10.6 又叫「雪豹（Snow Leopard）」,是蘋果公司2009年發布的系統版本。

SeaPea—— OS X 系統中的秘密 Rootkit

第二款工具叫做 SeaPea ，是 OS X 中的 Rootkit，可以讓 CIA 工作人員隱藏重要文件、目錄、進程以及來自用戶的 socket 連接，進而秘密安裝工具，在用戶不知情的情況下訪問其電腦。在維基解密今年三月份揭秘的 DarkSeaSkies 資料中，SeaPea 就已經被提到過了。

這款工具也是在 2011 年開發的，可以在最新版本的 Mac OS X 10.6（雪豹）系統（32 位或 64 位兼容內核）以及 Mac OS X 10.7（獅子）系統中運行。

這個工具運行時需要獲得目標 Mac 電腦的 root 許可權， CIA 可以利用其進行內核級別的植入，即使系統重啟也能持續感染。只有將啟動盤格式化或者將被感染的 Mac 升級到新版本的系統，才能移除這個 Rootkit。

Aeris——針對 Linux 系統的自動植入工具

第三款工具叫 Aeris ，是用 C 語言寫成的自動植入工具，專門針對 Linux（Debian,CentOS, Red Hat, FreeBSD 以及 Solaris）植入後門。利用 Aeris，CIA 工作人員可以針對不同電腦進行不同隱蔽操作，以達到不同的目的。Aeris 支持自動提取文件，攻擊者常常用於這種方法通過 TLS 加密通道從被入侵的設備中竊取信息。它與 NOD 加密標準兼容，可以提供結構化命令和控制，這與一些 Windows 植入工具所用的命令和控制相似。

根據披露的文檔內容， Aeris 主要影響的是如下系統：

Debian Linux 7 (i386)

Debian Linux 7 (amd64)

Debian Linux 7 (ARM)

Red Hat Enterprise Linux 6 (i386)

Red Hat Enterprise Linux 6 (amd64)

Solaris 11 (i386)

Solaris 11 (SPARC)

FreeBSD 8 (i386)

FreeBSD 8 (amd64)

CentOS 5.3 (i386)

CentOS 5.7 (i386)

本文轉載自：http://www.linuxprobe.com/ai-get-mankind.html