Аналитик из компании LegbaCore Ксено Кова (Xeno Kovah) и его коллега из инвестфонда Two Sigma Investments Траммель Хадсон (Trammell Hudson) разработали компьютерного червя под названием Thunderstrike 2, способного проникать в недосягаемую для антивирусов прошивку компьютеров Apple Mac, сообщает Wired.
Червь Thunderstrike 1
Название червя — Thunderstrike 2 — совпадает с названием буткита для Mac, который в январе 2015 г. разработал и продемонстрировал Хадсон.
Он обнаружил, что при перезагрузке Mac в режиме восстановления система опрашивает накопитель, подключенный к разъему Thunderbolt. И если на нем находится какая-либо загрузочная микропрограмма, то система сначала проверяет ее на подлинность и, если проверка прошла успешно, исполняет, пишет cnews.ru.
Эксперт научился обманывать систему, заставляя ее запускать микропрограмму с произвольным кодом. Затем он написал непосредственно сам буткит, который меняет стандартную прошивку Mac, отвечающую за запуск операционной системы при включении или перезагрузке компьютера.
Недостаток Thunderstrike 1
Однако разработанный Хадсоном буткит Thunderstrike можно установить, только имея физический контакт с машиной, так как взлом осуществляется с помощью периферийного интерфейса.
Именно этот недостаток специалист смог устранить вместе с коллегой из LegbaCore во второй версии Thunderstrike — а именно, специалисты нашли метод дистанционного внедрения червя. То есть хакеру больше не нужно иметь с заражаемой машиной физический контакт.
Способ заражения
Заражение происходит через электронное письмо или вредоносную веб-ссылку. При попадании на компьютер червь проникает в «биос» компьютера — микросхему с микропрограммой, которая отвечает за загрузку операционной системы («биос» — простонародное название всех таких микросхем, в действительности же в Mac этот чип называется EFI). После того как червь попадает в EFI, он заражает все подключаемые к компьютеру периферийные устройства, оснащенные такой же прошивкой (например, адаптер Apple Thunderbolt Ethernet, внешний жесткий диск, SSD-накоппитель или RAID-контроллер).
Распространение
Когда периферийное устройство подключается к другому компьютеру, и этот компьютер загружается с этого устройства, червь запускает процесс записи вредоносного кода в «биос» этого нового компьютера. Хороший способ вызвать массовую эпидемию —разместить в продаже на eBay устройства с червем, подсказывают аналитики.
Невозможность удаления
Примечательно, что в ходе описанных действий владельцы компьютеров Apple не будут знать, что их устройства заражены, так как «биосы» находятся вне досягаемости антивирусов. Не сможет спасти от червей ни переустановка операционной системы, ни форматирование накопителя.
80% компьютеров уязвимы
В 2014 г. аналитик Ксено Кова выяснил, что уязвимости в прошивках содержатся на 80% всех компьютеров в мире, работающих под управлением операционной системы Microsoft Windows. Специалист, в частности, убедился в этом после проверки ПК таких брендов как Dell, Lenovo, Samsung и HP. После этого эксперт, уже вместе с Хадсоном, решил проверить, применимы ли те же самые уязвимости к компьютерам Mac, более высокую степень которых Apple часто относит к конкурентным преимуществам. Как выяснилось, пять из шести уязвимостей, найденных в «биосах» ПК, оказались применимы и для платформы Apple.