Thunderstrike 2, il rootkit "indistruttibile" che infetta i Mac.


Di solito la maggior parte degli utenti Mac, (soprattutto i più "fedeli"), è convinta di usare un sistema operativo più sicuro di Windows, ma a quanto pare non è così: di recente tre ricercatori di sicurezza hanno scoperto e dimostrato che OS X è altrettanto vulnerabile, nonostante sia meno diffuso del rivale di casa Microsoft. In pratica si tratta di Xeno Kovah, Trammell Hudson e Corey Kallenberg, i quali hanno sviluppato un rootkit, denominato Thunderstrike 2 e che può essere installato da remoto nel firmware ed infettare tutti i Mac dotati di porta Thunderbolt; tra l'altro questo tipo di malware non può essere individuato né rimosso dai tradizionali antivirus. In sostanza entrando un po' più nel dettaglio i tre ricercatori hanno scoperto ben 6 vulnerabilità nei BIOS dei Pc sviluppati da Dell, Lenovo, HP e Samsung e, considerato che i produttori tendono ad usare lo stesso codice per tutti i dispositivi, 5 di queste vulnerabilità sono risultate essere presenti anche nel firmware EFI dei Mac. Inoltre per sviluppare Thunderstrike 2, (che, tra l'altro, può essere distribuito mediante e-mail di phishing o sito infetto), Xeno Kovah, Trammell Hudson e Corey Kallenberg hanno sfruttato 3 dei 5 bug scoperti: gli altri 2 sono stati prontamente corretti da Apple. Ad ogni modo il funzionamento di questo malware è presto detto: dapprima verifica la presenza di periferiche collegate, appunto, alla porta Thunderbolt ed, in caso di esito positivo, inizia ad infettare la Option ROM del dispositivo. Così facendo è possibile compromettere qualsiasi Mac, in quanto il rootkit in questione viene caricato nel firmware EFI che viene eseguito all'avvio del computer. Mentre se, ad esempio, l'utente collega un adattatore Thunderbolt-Ethernet ad un computer già infetto, il malware viene copiato dal firmware EFI alla Option ROM delle periferiche collegabili, passando così da un Mac all'altro; ciò avviene anche in assenza di una connessione Internet. Comunque sia, considerando che Thunderstrike 2 è stato sviluppato per essere presentato in una sessione dei Black Hat USA 2015 ed al DEF CON 2015, a breve i ricercatori rilasceranno un tool che permetterà di verificare l'integrità della Option ROM, ma non permetterà di controllare il firmware EFI né tantomeno di eliminare il malware dal Mac. Al riguardo i tre ricercatori hanno spiegato: "Apple ha sistematicamente dichiarato che non erano vulnerabili agli attacchi ai firmware dei Pc. Questa sessione fornirà la prova decisiva che i Mac sono in realtà vulnerabili a molti degli attacchi al firmware che colpiscono anche i Pc". Mentre in merito alla diffusione di Thunderstike 2, i tre hanno fatto sapere che un modo potrebbe essere quello di vendere adattatori Ethernet infetti tramite Internet o infettarli direttamente in fabbrica. Oltretutto, dato che, come anticipato, nessun antivirus effettua la scansione del firmware, il rootkit non può essere rilevato: una semplice formattazione non avrebbe alcun effetto, (il malware non si trova fisicamente nell'hard disk o l'SSD), perciò l'unico modo per eliminarlo sarebbe il re-flash del chip che contiene il firmware; il che rappresenta un'operazione non alla portata di tutti. Motivo per il quale i produttori hardware dovrebbero usare la crittografia ed implementare funzionalità di autenticazione per verificare le firme digitali, in modo da impedire la modifica del codice; oppure potrebbero consentire agli utenti di leggere il firmware per confrontare il cosiddetto checksum con quello originale. In ogni caso, anche se Xeno Kovah, Trammell Hudson e Corey Kallenberg non diffonderanno in alcun modo Thunderstrike 2, nulla impedisce, infine, ad altri di mettere a punto un qualcosa di simile o magari più pericoloso.

Di seguito un'anteprima di quello che verrà mostrato alle conferenze:

Commenti