Черв’як вселяється в «біос» комп’ютерів Apple Mac дистанційно

Дослідники розробили хробака, здатного вселятися в «біос» комп’ютерів Apple Mac. Його не можна видалити ні перевстановлення операційної системи, ні форматуванням. На відміну від попередніх версій, новий шкідливий код може поширюватися дистанційно – фізичного контакту з машиною не потрібно.

Черв’як Thunderstrike 2

Аналітик з компанії LegbaCore Ксенія Кова (Xeno Kovah) і його колега з інвестфонду Two Sigma Investments Траммел Хадсон (Trammell Hudson) розробили комп’ютерного хробака під назвою Thunderstrike 2, здатного проникати в недосяжну для антивірусів прошивку комп’ютерів Apple Mac, повідомляє Wired.

Черв’як Thunderstrike 1

Назва хробака – Thunderstrike 2 – збігається з назвою буткіта для Mac, який в січні 2015 р розробив і продемонстрував Хадсон.

Він виявив, що при перезавантаженні Mac в режимі відновлення система опитує накопичувач, підключений до гнізда Thunderbolt. І якщо на ньому знаходиться якась завантажувальна мікропрограма, то система спочатку перевіряє її на справжність і, якщо перевірка пройшла успішно, виконує.

Експерт навчився обманювати систему, змушуючи її запускати микропрограмму з довільним кодом. Потім він написав безпосередньо сам буткіт, який змінює стандартну прошивку Mac, що відповідає за запуск операційної системи при включенні або перезавантаженні комп’ютера.

Недолік Thunderstrike 1

Однак розроблений Хадсоном буткіт Thunderstrike можна встановити, лише маючи фізичний контакт з машиною, так як злом здійснюється за допомогою периферійного інтерфейсу.

Саме цей недолік фахівець зміг усунути разом з колегою з LegbaCore в другій версії Thunderstrike – а саме, фахівці знайшли метод дистанційного впровадження хробака. Тобто хакеру більше не потрібно мати з заражаємо машиною фізичний контакт. 

спосіб зараження

Зараження відбувається через електронного листа або шкідливу веб-посилання. При попаданні на комп’ютер черв’як проникає в «біос» комп’ютера – мікросхему з мікропрограмою, яка відповідає за завантаження операційної системи ( «біос» – простонародне назва всіх таких мікросхем, в дійсності ж в Mac цей чіп називається EFI). Після того як черв’як потрапляє в EFI, він заражає всі підключаються до комп’ютера периферійні пристрої, оснащені такою ж прошивкою (наприклад, адаптер Apple Thunderbolt Ethernet, зовнішній жорсткий диск, SSD-накоппітель або RAID-контролер).

поширення

Коли периферійний пристрій підключається до іншого комп’ютера, і цей комп’ютер завантажується з цього пристрою, черв’як запускає процес запису шкідливого коду в «біос» цього нового комп’ютера. Хороший спосіб викликати масову епідемію -разместіть в продажу на eBay пристрої з хробаком, підказують аналітики.

неможливість видалення

Примітно, що в ході описаних дій власники комп’ютерів Apple не знатимуть, що їх пристрої заражені, так як «біоси» знаходяться поза досяжністю антивірусів. Не зможе врятувати від черв’яків ні перевстановлення операційної системи, ні форматування накопичувача.

80% комп’ютерів уразливі

У 2014 р аналітик Ксенія Кова з’ясував, що уразливості в прошивках містяться на 80% всіх комп’ютерів в світі, що працюють під управлінням операційної системи Microsoft Windows. Спеціаліст, зокрема, переконався в цьому після перевірки ПК таких брендів як Dell, Lenovo, Samsung і HP. Після цього експерт, уже разом з Хадсоном, вирішив перевірити, чи можуть бути застосовані ті ж самі уразливості до комп’ютерів Mac, більш високу ступінь яких Apple часто відносить до конкурентних переваг. Як з’ясувалося, п’ять з шести вразливостей, знайдених в «Біос» ПК, виявилися застосовні і для платформи Apple.

Ссылка на основную публикацию