Исследователи создали червя, который может заражать прошивку Mac

Несколько месяцев назад исследователь Траммел Хадсон (Trammel Hudson) создал эксплойт под названием Thunderstrike, который мог инфицировать компьютеры Mac через устройства, подключенные через разъем Thunderbolt. При подключении к зараженному компьютеру новых устройств червь записывался на них, таким образом под угрозой оказывались и другие машины.

Apple исправила уязвимость в OS X версии 10.10.2, однако, Хадсон и еще один ИБ-исследователь Ксено Кова (Xeno Kovah) разработали новую версию эксплойта и опубликовали буткит и червя, заражающего компьютеры Mac.

Как и предшественник, Thunderstrike 2 распространяется главным образом через зараженные Thunderbolt-устройства. Однако в отличие от первой версии червя, теперь для проведения атаки хакеру не нужен физический доступ к компьютеру.

По словам исследователей, вредоносный софт может попасть на компьютер с помощью «фишингового email-сообщения или специального сайта». После попадания на компьютер, червь заражает устройства, которые используют для подключения Option ROM (например, адаптер Thunderbolt и Gigabit Ethernet, внешний SSD или даже RAID-контроллер). После того, как червь записан на устройство, он может атаковать любой Mac, к которому его подключат.

Главная опасность зловредов, действующих на уровне прошивки, заключается в том, что в настоящий момент антивирусный софт и другие инструменты для обеспечения безопасности фокусируются на работе с RAM и файлами, хранящимися на компьютере. Поэтому червя, вроде Thunderstrike 2 крайне сложно обнаружить. При этом, специфика атаки, делает возможным ее осуществление даже для устройств, не подключенных к интернету.