Все, что вы хотели знать о Thunderstrike — первом бутките для Mac

Разработан опасный буткит, способный устанавливать полный контроль над компьютерами Apple. В этой статье мы собрали все факты о Thunderstrike, которые вам следует знать

Thunderstrike OS X Bootkit

На 31-й ежегодной конференции Chaos Computer Club, прошедшей в конце декабря в Гамбурге, был представлен первый известный буткит для Mac OS X.

Треммелл Хадсон (Trammell Hudson), исследователь в сфере информационной безопасности, разработал атаку, которую окрестил Thunderstrike. Она эксплуатирует уязвимость, обнаруженную в глубине кода OS X; на самом деле даже глубже, на уровне прошивки. Хадсон уже уведомил Apple, которая, по сведениям, залатала брешь во всех устройствах, за исключением MacBook.

Нет сомнений в том, что Thunderstrike, как и все буткиты и руткиты, — очень опасная угроза: использующий ее злоумышленник может получить полный контроль над вашим компьютером. Это как вирус Эбола среди компьютерных угроз: вероятность заражения невысока, но, если уж вас угораздит подцепить заразу, последствия могут быть катастрофическими.

https://twitter.com/qrs/status/550228313268957184

Буткит — подвид руткита, модифицирующий загрузочный сектор операционной системы, что позволяет получить полный контроль над инфицированной машиной. Буткит запускается при включении компьютера, еще до того, как загрузится сама ОС. Даже если удалить операционную систему, зловред никуда не денется. Как следствие, буткиты очень трудно удалить и даже обнаружить, хотя современные антивирусные продукты способны с ними справляться.

Thunderstrike — буткит, разработанный для устройств, работающих под управлением OS X. Его можно установить, получив доступ непосредственно к «начинке» Мака, либо через интерфейс Thunderbolt. Вероятность инфицирования первым способом ничтожно мала: для этого буткит должен быть установлен на этапе производства, либо же злоумышленник должен физически разобрать ваш MacBook и вручную провести необходимые модификации.

Более вероятен второй вариант — заражение через соединение Thunderbolt. Для атак такого типа, требующих физического доступа к компьютеру, даже есть специальный термин: атаки «evil maid». В принципе подойдет любой сценарий, в котором можно подобраться к компьютеру в отсутствие его владельца. Особое внимание стоит обратить на такие моменты, когда ваш компьютер против вашего желания оказывается один на один с совершенно незнакомыми вам людьми. Например, так происходит при досмотре службой безопасности аэропорта.

Возвращаясь к аналогии с вирусом Эбола, передающимся только в ходе непосредственного контакта, ваш компьютер может «подхватить» Thunderstrike, только если хакер разберет его либо установит зловреда с периферийного устройства через Thunderbolt.

Удалить буткит программным методом невозможно, так как зловред управляет ключами цифровых подписей и обновлений. Переустановка ОС не решает проблему, как и замена SSD, ведь на накопителе его тоже нет

Другие виды вредоносного ПО имеют менее разрушительный эффект, но «передаются» гораздо легче. Если продолжить использовать аналогию с человеческими заболеваниями, вирус обычного гриппа передается воздушно-капельным путем и для населения представляет в целом большую опасность, чем Эбола, хотя грипп в большинстве случаев не смертелен.

Так и в нашем случае: зловред, созданный для организации ботнета и пожирающий вычислительные ресурсы компьютера, хоть и менее страшен в каждом отдельном случае, но беспокоит общественность гораздо больше, чем Thunderstrike, так как он может инфицировать компьютер удаленно — через веб, фишинговое email-сообщение и так далее.

«Так как это первый буткит для OS X, ни один антивирусный продукт его не обнаруживает, — заявил Хадсон. — Thunderstrike осуществляет контроль над каждым процессом инфицированной системы, что позволяет злоумышленнику фиксировать нажатия клавиш, получать ключи шифрования накопителей, внедрять бэкдоры в ядро OS X и обходить пароли. Удалить Thunderstrike программным методом невозможно, так как зловред управляет ключами цифровых подписей и обновлений. Переустановка ОС не решает проблему, как и замена SSD, — на накопителе зловреда тоже нет».

Лучший способ защитить свой Макбук от Thunderstrike — убедиться, что никто не имеет доступ к вашему компьютеру во время вашего отсутствия. Одним словом, если не упускаете свои устройства из виду, проблем у вас возникнуть не должно.

Так что откиньтесь на спинку кресла и послушайте легкую музыку в исполнении группы AC/DC:

Советы

Как отключить слежку в iOS?

У вас есть iPhone, iPad или iPod? Потратьте несколько минут на настройку служб геолокации, чтобы сэкономить заряд батареи и сохранить конфиденциальность перемещений.