Новый червь вселяется в «биос» компьютеров Apple Mac дистанционно

Новый червь вселяется в «биос» компьютеров Apple Mac дистанционно

Аналитик из компании LegbaCore Ксено Кова (Xeno Kovah) и его коллега из инвестфонда Two Sigma Investments Траммель Хадсон (Trammell Hudson) разработали компьютерного червя под названием Thunderstrike 2, способного проникать в недосягаемую для антивирусов прошивку компьютеров Apple Mac, сообщает Wired.

Червь Thunderstrike 1

Название червя — Thunderstrike 2 — совпадает с названием буткита для Mac, который в январе 2015 г. разработал и продемонстрировал Хадсон.

Он обнаружил, что при перезагрузке Mac в режиме восстановления система опрашивает накопитель, подключенный к разъему Thunderbolt. И если на нем находится какая-либо загрузочная микропрограмма, то система сначала проверяет ее на подлинность и, если проверка прошла успешно, исполняет, пишет cnews.ru.

Эксперт научился обманывать систему, заставляя ее запускать микропрограмму с произвольным кодом. Затем он написал непосредственно сам буткит, который меняет стандартную прошивку Mac, отвечающую за запуск операционной системы при включении или перезагрузке компьютера.

Недостаток Thunderstrike 1

Однако разработанный Хадсоном буткит Thunderstrike можно установить, только имея физический контакт с машиной, так как взлом осуществляется с помощью периферийного интерфейса.

Именно этот недостаток специалист смог устранить вместе с коллегой из LegbaCore во второй версии Thunderstrike — а именно, специалисты нашли метод дистанционного внедрения червя. То есть хакеру больше не нужно иметь с заражаемой машиной физический контакт.

Способ заражения

Заражение происходит через электронное письмо или вредоносную веб-ссылку. При попадании на компьютер червь проникает в «биос» компьютера — микросхему с микропрограммой, которая отвечает за загрузку операционной системы («биос» — простонародное название всех таких микросхем, в действительности же в Mac этот чип называется EFI). После того как червь попадает в EFI, он заражает все подключаемые к компьютеру периферийные устройства, оснащенные такой же прошивкой (например, адаптер Apple Thunderbolt Ethernet, внешний жесткий диск, SSD-накоппитель или RAID-контроллер).

Распространение

Когда периферийное устройство подключается к другому компьютеру, и этот компьютер загружается с этого устройства, червь запускает процесс записи вредоносного кода в «биос» этого нового компьютера. Хороший способ вызвать массовую эпидемию —разместить в продаже на eBay устройства с червем, подсказывают аналитики.

Невозможность удаления

Примечательно, что в ходе описанных действий владельцы компьютеров Apple не будут знать, что их устройства заражены, так как «биосы» находятся вне досягаемости антивирусов. Не сможет спасти от червей ни переустановка операционной системы, ни форматирование накопителя.

80% компьютеров уязвимы

В 2014 г. аналитик Ксено Кова выяснил, что уязвимости в прошивках содержатся на 80% всех компьютеров в мире, работающих под управлением операционной системы Microsoft Windows. Специалист, в частности, убедился в этом после проверки ПК таких брендов как Dell, Lenovo, Samsung и HP. После этого эксперт, уже вместе с Хадсоном, решил проверить, применимы ли те же самые уязвимости к компьютерам Mac, более высокую степень которых Apple часто относит к конкурентным преимуществам. Как выяснилось, пять из шести уязвимостей, найденных в «биосах» ПК, оказались применимы и для платформы Apple.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Standoff Bug Bounty включили в реестр российского софта

Решением Минцифры РФ платформа Standoff Bug Bounty внесена в единый реестр российского программного обеспечения. Ожидается, что регистрация продукта Positive Technologies расширит его использование для запуска профильных программ.

Согласно реестровой записи №24778 от 15.11.2024, платформа PT, предназначенная для организации поиска уязвимостей в активах за вознаграждение, классифицируется как средство автоматизации процессов ИБ.

Включение Standoff Bug Bounty в реестр российского софта означает, что данный продукт рекомендуется к использованию субъектами критически важной инфраструктуры (КИИ). К слову, для российских операторов КИИ запуск баг-баунти может вскоре стать обязательным.

«В некоторых случаях в рамках закупок государственные организации предъявляют требование подтвердить место происхождения программного обеспечения, — поясняет Юлия Воронова, директор по консалтингу центра компетенции PT. — Поэтому компания приняла решение внести Standoff Bug Bounty в единый реестр российского ПО. Этот шаг позволит расширить круг клиентов нашей платформы».

Площадка Standoff Bug Bounty функционирует с мая 2022 года. За истекший срок ее использовали более 80 раз для размещения программ баг-баунти, в том числе сама PT.

Число регистраций багхантеров уже превысило 16 тысяч. За 2,5 года через платформу подали около 8 тыс. отчетов об уязвимостях, в том числе критических (12%) и высокой степени опасности (20%).

За свои находки исследователи совокупно получили более 148 млн рублей. Примечательно, что предельные баунти, назначаемые за найденные уязвимости, сравнимы с предложениями зарубежных компаний.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru