Ранее в марте WikiLeaks начал проект «Vault 7», посвященный публикации эксплойтов, созданных и используемых Центральным разведывательным управлением США, начав с утечки 8 761 документа, обнаруженного в изолированной сети в Лэнгли, штат Вирджиния. После публикации документов, связанных с iOS, а также некоторых эксплойтов для Mac, публикации Vault 7 в течение большей части года не включали продукты Apple.

Теперь публикаторы поделились двумя новыми эксплойтами, которые, как сообщается, были созданы под кодовым названием проекта «Imperial» ЦРУ. Первый называется «Achilles», и WikiLeaks заявили, что он позволяет оператору троянизировать установщик дискового образа на компьютере Mac, предоставляя оператору «один или несколько желаемых… исполняемых файлов» для однократного выполнения. Это означает, что пользователь может скачать .dmg файл, содержащий вредоносный контент, и перенести его в каталог приложений, не подозревая об этом.

В руководстве пользователя Achilles объясняется, что троянизированный .dmg файл будет вести себя аналогично оригинальному файлу, и что все намеченные оператором исполняемые файлы будут запущены при первом запуске приложения. После этого все следы Achilles будут «безопасно удалены» из .app файла, и файл будет «точно соответствовать» оригинальному, нетроянизированному приложению. Achilles был протестирован только на OS X 10.6, операционной системе Apple Snow Leopard, выпущенной в 2009 году.

Achilles — это возможность, которая предоставляет оператору возможность троянизировать установщик дискового образа OS X (.dmg) с одним или несколькими желаемыми оператором исполняемыми файлами для однократного выполнения.

Второй эксплойт называется «SeaPea» и описывается как Rootkit для OS X, который предоставляет оператору «возможности скрытности и запуска инструментов». SeaPea скрывает файлы и каталоги, сетевые соединения и процессы от пользователя, позволяя оператору получать доступ к компьютеру Mac, оставаясь незамеченным.

SeaPea был протестирован на Mac под управлением как OS X 10.6, так и OS X 10.7 (Lion), и требует root-доступа для установки на рассматриваемый Mac. Уязвимость оставалась на компьютере до тех пор, пока жесткий диск не был отформатирован или пользователь не обновился до следующей основной версии ОС.

SeaPea — это Rootkit для OS X, предоставляющий возможности скрытности и запуска инструментов. Он скрывает файлы/каталоги, сетевые соединения и/или процессы. Он работает на Mac OSX 10.6 и 10.7.

Среди документов Imperial есть автоматический имплант для устройств Windows под названием Aeris, который завершает список всех утекших файлов ЦРУ, опубликованных WikiLeaks сегодня. Другой выпуск Vault 7 этим летом был посвящен использованию модифицированных версий прошивки маршрутизаторов для превращения сетевых устройств в инструменты наблюдения, под названием «Cherry Blossom».

Из-за более старого программного обеспечения Mac, использованного для тестирования Achilles и SeaPea, вполне вероятно, что такие эксплойты уже были устранены Apple во многочисленных обновлениях, выпущенных с момента появления Snow Leopard в 2009 году и Lion в 2011 году. Предыдущие уязвимости, опубликованные WikiLeaks в марте, были быстро устранены Apple, которая заявила, что исправила «предполагаемые» уязвимости на устройствах iPhone 3G (названные «NightSkies») еще в 2009 году, а также эксплойт Sonic Screwdriver для Mac на всех Mac, выпущенных после 2013 года.