Новый червь вселяется в «биос» компьютеров Apple Mac дистанционно

Аналитик Ксено Кова (компания LegbaCore) и его коллега Траммель Хадсонинвестфонд Two Sigma Investments) создали компьютерного червя Thunderstrike 2, который способен проникать в прошивку Apple Macданная область недосягаема дляантивирусов. Название вируса совпадает с названием буткита для компьютеров Mac, созданным Хадсоном в 2015 году.

mackHacked1
Новая версия Thunderstrike способна внедряться дистанционно – хакеру теперь не нужно получать доступ к атакуемому устройству.

Специалист обнаружил, что при перезагрузке компьютера Mac в режиме восстановления первоначально происходит опрос накопителя, подключенного к Thunderbolt. Если накопитель содержит загрузочную микропрограмму, осуществляется проверка ее на подлинность с последующим выполнением, если проверка прошла успешно.
Эксперт смог обмануть систему, заставив запускать произвольную микропрограмму. Далее был разработан буткит, изменяющий заводскую прошивку Mac, которая отвечает за старт операционной системы. Главный недостаток данной схемынеобходим физический доступ к устройству для подключения специально подготовленного периферийного устройства.
Этот недостаток специалист позднее смог устранить вместе с коллегой. Новая версия Thunderstrike способна внедряться дистанционнохакеру теперь не нужно получать доступ к атакуемому устройству.
Инфицирование осуществляется через интернетссылку или электронное сообщение. Попав на ПК червь загружается в «биос» ПКспециальный чип с микропрограммой, обеспечивающий загрузку ОС. «Биос» — простонародное название микросхем данного типа, в действительности же такой чип в Mac имеет название EFI. После загрузки в EFI вирус способен заражать подключаемые к компьютеру устройства, при условии, что они используют аналогичную прошивку (например, SSDнакопитель, адаптер Thunderbolt Ethernet, RAIDконтролер или внешний накопитель).
Если вредоносное периферийное устройство далее подключается к другому ПК и используется для загрузки платформы, червь инициирует запись вредоносного кода в микросхему данного компьютера. Аналитики в качестве примера привели возможную атаку, при которой злоумышленники размещают на eBay большое количество устройств с червем. Теоретически это может вызвать массовую эпидемию.
Примечательно, что заражение данного типа очень сложно выявить, поскольку данная область не доступна для проверки антивирусами. Вредоносный код не удалится даже после форматирования накопителя или переустановки системы.

One comment

  1. Когда периферийное устройство подключается к другому компьютеру, и этот компьютер загружается с этого устройства, червь запускает процесс записи вредоносного кода в «биос» этого нового компьютера. Хороший способ вызвать массовую эпидемию —разместить в продаже на eBay устройства с червем, подсказывают аналитики.

Leave a Reply

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.