Команда исследователей создала первый червь для прошивки, который способен заражать Mac, сообщает Wired. Основываясь на эксплойтах «Thunderstrike», обнаруженных ранее в этом году, червь под названием «Thunderstrike 2» заражает Mac на уровне прошивки, что делает его практически невозможным для удаления. Встроенное в прошивку вредоносное ПО устойчиво к обновлениям прошивки и программного обеспечения, может полностью их блокировать или переустанавливаться по желанию.

Червь был создан инженером по безопасности Трэмеллом Хадсоном, который первым обнаружил эксплойты Thunderstrike, и Ксено Кова, владельцем консалтинговой компании по безопасности прошивок LegbaCore. Когда Thunderstrike вызвал резонанс ранее в этом году, это была ограниченная атака с доказательством концепции, не имеющая известного присутствия в реальном мире, но Thunderstrike 2 демонстрирует червь реального мира, способный нацеливаться на Mac, используя те же общие уязвимости.

В отличие от первой демонстрации Thunderstrike, Thunderstrike 2 способен заражать Mac удаленно через вредоносный веб-сайт или электронное письмо. Попав на Mac, он может распространяться на другие Mac, скрываясь в опционной ПЗУ периферийных устройств, таких как собственный адаптер Apple Thunderbolt to Gigabit Ethernet, внешние SSD, RAID-контроллеры и другие. После заражения Mac с червем Thunderstrike 2, периферийное устройство будет заражать любой другой Mac, к которому оно подключается.

«Люди не осознают, что эти маленькие дешевые устройства могут заразить их прошивку», — говорит Кова. «Вы можете запустить червя по всему миру, который будет распространяться очень низко и медленно. Если люди не будут осведомлены о том, что атаки могут происходить на этом уровне, то они будут расслаблены, и атака сможет полностью подорвать их систему».

Удаление вредоносного ПО, встроенного в прошивку Mac, потребовало бы вмешательства на аппаратном уровне, что делает его особенно опасным. По словам исследователей, Apple не сделала достаточно для устранения уязвимостей, которые оставляют Mac открытыми для подобных атак.

«Некоторые поставщики, такие как Dell и Lenovo, были очень активны в попытках быстро устранить уязвимости в своих прошивках», — отмечает Кова. «Большинство других поставщиков, включая Apple, как мы показываем здесь, этого не сделали. Мы используем наши исследования, чтобы повысить осведомленность об атаках на прошивки и показать клиентам, что они должны требовать от своих поставщиков лучшей безопасности прошивок».

Кова и Хадсон уведомили Apple об уязвимостях Thunderstrike 2, но на данный момент Apple исправила только одну из пяти уязвимостей безопасности и внесла частичное исправление для второй. Три уязвимости еще не устранены, но вполне вероятно, что Apple работает над устранением недостатков в предстоящем обновлении безопасности.

Более подробную информацию об исследованиях Ковы и Хадсона и эксплойте Thunderstrike 2 можно найти в подробном отчете на Wired.