Прототип червя дистанционно поражает в BIOS компьютеров Apple

5/08/2015 10:52

Аналитик из компании LegbaCore Ксено Кова (Xeno Kovah) и его коллега из инвестфонда Two Sigma Investments Траммель Хадсон (Trammell Hudson) разработали компьютерного червя под названием Thunderstrike 2, способного проникать в недосягаемую для антивирусов прошивку компьютеров Apple Mac, сообщает Wired. Название червя — Thunderstrike 2 — совпадает с названием буткита для Mac, который в январе 2015 г. разработал и продемонстрировал Хадсон. Он обнаружил, что при перезагрузке Mac в режиме восстановления система опрашивает накопитель, подключенный к разъему Thunderbolt. И если на нем находится какая-либо загрузочная микропрограмма, то система сначала проверяет ее на подлинность и, если проверка прошла успешно, исполняет. Эксперт научился обманывать систему, заставляя ее запускать микропрограмму с произвольным кодом. Затем он написал непосредственно сам буткит, который меняет стандартную прошивку Mac, отвечающую за запуск операционной системы при включении или перезагрузке компьютера. Однако разработанный Хадсоном буткит Thunderstrike можно установить, только имея физический контакт с машиной, так как взлом осуществляется с помощью периферийного интерфейса. Именно этот недостаток специалист смог устранить вместе с коллегой из LegbaCore во второй версии Thunderstrike — а именно, специалисты нашли метод дистанционного внедрения червя. То есть хакеру больше не нужно иметь с заражаемой машиной физический контакт. Заражение происходит через электронное письмо или вредоносную веб-ссылку. При попадании на компьютер червь проникает в «биос» компьютера — микросхему с микропрограммой, которая отвечает за загрузку операционной системы («биос» — простонародное название всех таких микросхем, в действительности же в Mac этот чип называется EFI). После того как червь попадает в EFI, он заражает все подключаемые к компьютеру периферийные устройства, оснащенные такой же прошивкой (например, адаптер Apple Thunderbolt Ethernet, внешний жесткий диск, SSD-накоппитель или RAID-контроллер). Когда периферийное устройство подключается к другому компьютеру, и этот компьютер загружается с этого устройства, червь запускает процесс записи вредоносного кода в «биос» этого нового компьютера. Хороший способ вызвать массовую эпидемию —разместить в продаже на eBay устройства с червем, подсказывают аналитики. Примечательно, что в ходе описанных действий владельцы компьютеров Apple не будут знать, что их устройства заражены, так как «биосы» находятся вне досягаемости антивирусов. Не сможет спасти от червей ни переустановка операционной системы, ни форматирование накопителя.
Источник