多年來，CIA就知道iPhone植入程序和MacBook底層rootkit。

維基解密新放出的一批據說泄自CIA的文檔顯示：2012年起，該機構便利用工具連接惡意Thunderbolt網卡，以感染Mac機器。

其中一份2012年11月29的文件，是CIA信息作戰中心的一份手冊，說的是代號“音速改錐(Sonic Screwdriver)”的技術。該技術被描述為“Mac筆記本或桌面電腦啟動時在外圍設備上執行代碼的機制。”

“音速改錐”讓CIA得以修改蘋果Thunderbolt網卡固件，強制MacBook從U盤或光盤啟動——即便其啟動選項受口令保護的情況下。

比如說，“音速改錐”可用于從 Linux live CD 啟動，這樣MacBook的分區和數據就可以從macOS外訪問了。

更重要的是，被“音速改錐”修改過的網卡可用于執行 DerStarke ——一款無文件macOS惡意程序，在計算機可擴展固件接口(EFI)留有長期駐留組件。

EFI或UEFI(統一可擴展固件接口)，是在操作系統啟動前，初始化和配置計算機硬件組件的底層固件，相當于現代版BIOS。

EFI植入，或者rootkit，可以在啟動過程中將惡意代碼注入操作系統內核，即便系統完全重裝了，或者硬盤驅動器換了，也都能繼續駐留。

3月23日泄露的另一份CIA文檔中，DerStarke 被描述為“無盤EFI駐留版Triton”。Triton是 Mac OS X 下課自動植入的間諜軟件，它可以盜取數據并發送到遠程服務器。

2009年的一份文檔中，描述了名為“DarkSeaSkies”的 MacBook Air 惡意軟件——一款可能是 DerStarke 前身的舊版植入物。這款惡意軟件同樣具有EFI駐留模塊，且包含名為“Nightskies”的用戶空間模塊。

Nightskies是從iPhone上移植到 MacBook Air 中的。這也是它最引人注目的一點。維基解密上顯示，iPhone版Nightskies是物理安裝到原裝出廠手機上的。

這表明，CIA染指了供應鏈。即在電子產品裝運送達到最終買家手里之前，CIA很可能就已經攔截并感染了該設備。2013你那斯諾登泄露的文檔里，已經透露出美國國家安全局(NSA)參與了類似活動。

在Mac計算機的EFI里安裝rootkit并不新鮮。澳大利亞安全研究員勞卡斯·K(安全社區人稱Snare)，在2012年的黑客安全大會上，就演示過Mac機器 EFI rootkit 概念驗證。Snare由此被蘋果公司聘走。

2014年，另一位安全研究員特拉梅爾·哈德森，開發了從惡意Thunderbolt設備感染Mac機EFI的方法。蘋果修復了一些相關漏洞，但隨后一年里，哈德森又與鑫爾諾·科瓦和科里·卡楞伯格一起，開發了該漏洞利用的另一個版本，名為“Thunderstrike 2”。

蘋果再次針對 Thunderstrike 2 相關漏洞做了修復。幾個月后，科瓦和卡楞伯格被蘋果公司聘用。

鑒于蘋果公司目前至少有3名精于此道的安全研究員，且該公司自2012年起便強化了其固件的EFI漏洞防護，CIA的 DerStarke 植入可能對該公司最新版本設備無效。

蘋果并未對評論請求做出立即回復。

2012年時，繞過EFI口令防護從外圍設備可選ROM啟動的方法就已經為人所知了，Snare的黑客大會演示中也提到過。CIA的“音速改錐”Thunderbolt網卡中所用的方法，在12月推出的 macOS Sierra 10.12.2 中就已被封。

本月早些時候維基解密放出第一批CIA文檔后，英特爾安全推出了一款工具，幫助計算機管理員驗證EFI/UEFI是否含有惡意代碼。

23號的新聞發布會上，維基解密創始人阿桑奇稱，新放出的文檔僅僅是CIA文檔緩存中的一小部分，維基解密掌握了大量文檔，僅僅是尚未公布而已。

維基解密之前曾承諾，與受影響技術廠商共享CIA漏洞及漏洞利用程序的未公布信息。并且，該組織要求廠商同意某些條款才放出這些信息。

阿桑奇在23號澄清：這些條款不涉及金錢之類的東西，只是要廠商承諾在業界標準90天時限內修復這些漏洞；而一時難以修復漏洞的時限則會稍有放寬。