Эксперт по вопросам безопасности нашел способ установки на крошечный чип, встроенный в ноутбуки Apple, вредоносного кода который будет сопротивляться любой попытке удаления — даже замена жесткого диска не удаляет его.
Атаку, названную Thunderstrike, практически невозможно обнаружить виртуально, но для нее злоумышленнику потребуется получить доступ к компьютеру. Так как такой вид атаки совсем новый, антивирусное программное обеспечение не будет даже смотреть в его сторону.
Траммел Хадсон из Нью-Йоркского хедж-фонда Two Sigma Investments, рассказал, что дыра в безопасности была найдена, когда его работодатель попросил оценить безопасность ноутбуков Apple.
Его первым шагом стала разборка одного из ноутбуков, чтобы получить доступ к boot ROM, небольшому чипу, который содержит код, которому следует компьютер перед загрузкой основной операционной системы.
Вредоносный код может быть спрятан в этой boot ROM, и в отличие от обычного вируса, который «живет» на жестком диске, он не может быть удален. Этот способ известен как буткит-атака. Вредоносный код позволяет злоумышленнику делать что угодно — от тайного наблюдения за пользователем до похищения конфиденциальных данных, хранящихся на компьютере.
Хотя предыдущие исследователи обнаружили, что, изменение содержимого ROM в ноутбуках Apple делает полностью непригодным использование компьютера, так как системы безопасности анализируют изменения ROM и автоматически отключают ПК, если находят их. Однако, Хадсону удалось обойти эти проверки и установить любой код, какой он хотел.
Он сказал, что эти меры безопасности были всегда «обречены на провал» и «бесполезны», поскольку любой, кто может получить доступ к содержимому ROM также можете получит доступ и к коду, который проверяет диск на изменения. Вместо этого, по его словам, должен быть неизменяемый аппаратный чип, который выполняет такую проверку.
Кроме того, было установлено, что атака может быть осуществлена без разборки компьютера на части, для того чтобы добраться до чипа. Можно просто использовать порт Thunderbolt. Теоретически, любое устройство — монитор, жесткий диск или принтер — можно использовать для установки вредоносного кода, просто подключив и сделав несколько простых шагов.
«Так как это первый буткит OS X прошивки, в ней нет ничего, что сканировало бы его присутствие. Он контролирует систему с самой первого инструкции, которая позволяет ему записывать нажатия клавиш, в том числе ключей шифрования диска, помещая бэкдоры в ядре OS X и обходя пароли доступа», — рассказал Хадсон. «Переустановка OS X не удалит его. Замена SSD не удалит его — так как в бутките нет ничего, хранящегося на диске. Несколько минут наедине с вашим ноутбуком — и Thunderstrike позволяет перепрошить ваш boot ROM, независимо от наличия паролей или шифрования диска. Thunderstrike в его нынешнем виде был эффективен против всех MacBook Pro/ Air/Retina с Thunderbolt, которые я проверял, большинство проверенных моделей производятся начиная с 2011 года».
Хадсон говорит, что Apple выкатила «частичный фикс», который остановит перезапись boot ROM с вредоносным кодом в некоторых обстоятельствах, но не во всех — например, когда машина будет перезагружена с подключенным вредоносным Thunderbolt-устройством. Он сообщил компании о дефекте в 2013 году, но говорит, что некоторые ноутбуки по-прежнему уязвимы, так как хакеры могут обмануть машины, делая даунгрейд до версии, которая не включает в себя новое исправление..
Единственное предложение Хадсон для предотвращения такой атаки- перезаписать ROM с вашим собственным кодом, который блокирует любые удаленные атаки через порт Thunderbolt, а затем закрасить винты на вашем ноутбуке лаком для ногтей, чтобы обнаружить несанкционированный физический доступ к ROM , Тем не менее, это сложная мера, труднодоступная для всех, кроме продвинутых экспертов в области безопасности.