Home / Malware / Other Malware news / Malware για συσκευές Apple που χρησιμοποιούν Thunderbolt

Malware για συσκευές Apple που χρησιμοποιούν Thunderbolt

0thunderbolt_ethernet

Τα προϊόντα της Apple διατηρούσαν για χρόνια τη φήμη ότι ήταν πολύ καλύτερα προστατευμένα ενάντια στο κακόβουλο λογισμικό, σε σχέση με αυτά των Windows. Ωστόσο, μια νέα μέθοδος διαμοιρασμού κακόβουλου λογισμικού έρχεται να βάλει τέλος στη φήμη αυτή. Το Thunderstrike, όπως το έχουν ονομάσει οι δημιουργοί του, δεν είναι εφικτό επί του παρόντος να ανιχνευτεί και κατ’ επέκταση να αφαιρεθεί με οποιαδήποτε γνωστή διαδικασία, χωρίς τη χρήση κατάλληλου εξειδικευμένου hardware. Ο ερευνητής ασφάλειας Trammell Hudson αποκάλυψε πως χρησιμοποιώντας το περιφερειακό Thunderbolt μπορούμε να φορτώσουμε αυτό που ονομάζει “bootkit” μέσω της Option ROM της συσκευής.

Τα Option ROM είναι προαιρετικά ή ειδικά περιφερειακά block μνήμης που χρησιμοποιήθηκαν για πρώτη φορά τη δεκαετία του 1980 για την αποθήκευση κρίσιμων προγραμμάτων ή την ανάκτηση ειδικών περιφερειακών block μνήμης. Ξεκινούν να λειτουργούν κατά τη διαδικασία έναρξης και συχνά συνδέονται με το BIOS για να υποστηρίξουν μια εκκινήσημη συσκευή ή την έναρξη ενός δικτύου. Οι συσκευές Thunderbolt περιέχουν τις δικές τους Option ROMs, και το hardware της Apple ελέγχει τις περιοχές αυτές ως μέρος της διαδικασίας εκκίνησης.

Το πακέτο του κακόβουλου λογισμικού εισάγεται από τη μολυσμένη Option ROM της συσκευής Thunderbolt απευθείας στο EFI (extensible firmware interface) του συστήματος. Σύμφωνα με τους επίσημους οδηγούς για το πρότυπο EFI/UEFI, όπως φαίνεται και στη εικόνα που ακολουθεί, κάτι τέτοιο φαντάζει αδύνατο, αφού το firmware είναι κλειδωμένο εξ αρχής:

1Thunderstrike-InjectionΣτην πραγματικότητα, δυστυχώς, αυτό δεν ισχύει. Η έρευνα και οι δοκιμές που έκανε ο Hudson δείχνουν ότι οι Option ROMs φορτώνονται κατά τη διάρκεια της διαδικασίας εκκίνησης σε recovery mode. Το πρώτο εμπόδιο, στο σημείο αυτό, είναι ότι η Apple εξακολουθεί να ελέγχει την υπογραφή του αρχείου EFI και μόνο. Αν αλλάξει το μέγεθος ή το περιεχόμενο, ο έλεγχος θα αποτύχει. Ή τουλάχιστον, θα αποτύγχανε, αν η ερευνητική ομάδα δεν είχε σκαρφιστεί μια μέθοδο αντικατάστασης του αποθηκευμένου δημόσιου κλειδιού RSA της Apple με ένα κλειδί, επί του οποίου θα είχαν τον απόλυτο έλεγχο.

2Thunderstrike-3Μετά από αυτό το βήμα, δεν υπάρχει γυρισμός. Χωρίς ένα «ελεγχόμενο» κλειδί αυθεντικοποίησης RSA, είναι αδύνατο για τον τελικό χρήστη να προχωρήσει σε ενημέρωση του firmware της συσκευής. Όλες οι προσπάθειες θα αποτύχουν λόγω της αυθεντικοποίησης. Έστω και με αυτή την ελάχιστη πρόσβαση στο σύστημα, ένας επιτιθέμενος, κακόβουλος χρήστης, θα μπορούσε να προκαλέσει μεγάλη ζημιά. Το όλο σύστημα μπορεί να παρακολουθείται, να καταγράφονται τα πλήκτρα που πατά ο χρήστης, να καταγράφεται το πλήρες ιστορικό περιήγησης του χρήστη και φυσικά να καταγράφονται οι κωδικοί πρόσβασης που χρησιμοποιεί ο χρήστης. Το bootkit μπορεί να μεταφερθεί και σε άλλες συσκευές Thunderbolt, όταν αυτές συνδεθούν με τη μολυσμένη συσκευή.

Υπάρχει σχέση με “evil maid” επθέσεις;

Τα καλά νέα στο θέμα αυτό είναι ότι η επίθεση απαιτεί τουλάχιστον μια σύντομης διάρκειας φυσική πρόσβαση στο σύστημα. Στις περισσότερες περιπτώσεις, κάτι τέτοιο επιτυγχάνεται μόνο σε εργαστηριακά πειράματα, αλλά στην περίπτωση του Thunderstrike, φαίνεται ότι κάτι γίνεται διαφορετικά. Πρώτα, η επίθεση είναι γρήγορη. Ο επιτιθέμενος δε χρειάζεται να καθίσει για ώρα μπροστά στον υπολογιστή, ούτε καν να εισάγει κάποια δεδομένα σε αυτόν. Το μόνο που χρειάζεται είναι να συνδέσει μια συσκευή Thunderbolt στο σύστημα, να κρατήσει πατημένο το κουμπί εκκίνησης για ελάχιστα δευτερόλεπτα και… αυτό ήταν. Η επίθεση ξεκινάει και το κακόβουλο λογισμικό εγκαθίσταται στο σύστημα μέσα σε λίγα λεπτά. Το μόνο, ενδεχομένως, που θα παρατηρήσει εκ των υστέρων ένας συνηθισμένος χρήστης είναι μια μικρή καθυστέρηση στην εκκίνηση – που μπορεί να θεωρηθεί σχεδόν φυσιολογική.

Το σύνηθες μοντέλο επιθέσεων με φυσική πρόσβαση βασίζεται στην ιδέα του evil maid: κάποιος που μπορεί να αποκτήσει πρόσβαση σε ένα σύστημα ενώ αυτό βρίσκεται στο δωμάτιο ενός ξενοδοχείου ή κλειδωμένο σε ένα χρηματοκιβώτιο, αλλά η ταχύτητα και η λεπτότητα της επίθεσης αυτής κάνουν ακόμα μεγαλύτερη την απειλή. Αν ποτέ έχετε βρεθεί σε ένα συνέδριο ή ένα event για θέματα τεχνολογίας, θα έχετε παρατηρήσει ότι πολλοί συμμετέχοντες έχουν φορητούς υπολογιστές μαζί τους, αλλά όχι πάντα υπό το βλέμμα τους, κάτι που σημαίνει ότι το σύστημά τους μπορεί να είναι εκτεθειμένο για όση ώρα βρίσκονται στις τουαλέτες ή στο μπουφέ.

Τρίτον, και πιο κρίσιμο, είναι ότι πλέον γνωρίζουμε πως οι κρατικές υπηρεσίες ασχολούνται ενεργά με στοχευμένες ενέργειες παρακολούθησης, χάρη στις οποίες πετυχαίνουν επιθέσεις όπως οι υπό μελέτη. Σε μια από τις αναφορές του Snowden που διέρρευσαν, υπήρχε αναλυτική περιγραφή του τρόπου με τον οποίο η NSA παρεμβαίνει στο hardware συσκευών της Dell και της HP κατά τη διάρκεια της μεταφοράς τους, ενσωματώνοντας σε αυτές λογισμικό παρακολούθησης, και πριν αυτές φτάσουν στους τελικούς χρήστες συσκευάζονται εκ νέου και παραδίδονται στον παραλήπτη. Δεν είμαστε, βέβαια, σε θέση να γνωρίζουμε την έκταση τέτοιων πρακτικών, αλλά ξέρουμε ότι είναι μια πραγματικότητα – και τα αποτελέσματά τους είναι εξαιρετικά για τις μυστικές υπηρεσίες των χωρών ανά τον κόσμο.

Η Apple ετοιμάζει ένα firmware patch που θα εμποδίζει, τουλάχιστον, τη φόρτωση των Option ROMs κατά τη διάρκεια των αναβαθμίσεων του firmware, παρ’ ότι κάτι τέτοιο φέρνει εκ νέου στην επιφάνεια μια παλαιότερη ευπάθεια. Άγνωστο, τέλος, παραμένει το χρονοδιάγραμμα για την πλήρη επίλυση του προβλήματος.

About CyberG

Check Also

Ουκρανία: Νέο κύμα ψηφιακών επιθέσεων πλήττει τη βιομηχανία ηλεκτρικής ενέργειας

Ένα νέο κύμα επιθέσεων που στοχεύει εταιρίες παροχής ηλεκτρικής ενέργειας στην Ουκρανία αποκαλύπτει η ESET. «Αυτή …

Leave a Reply

Your email address will not be published. Required fields are marked *