Xuất hiện sâu firmware đầu tiên tấn công Mac OS của Apple

[WhiteHat News #ID:2112]

Một nhóm hacker mũ trắng vừa công bố việc phát triển loại sâu firmware đầu tiên trên thế giới có đủ sức xuyên thủng hệ thống an ninh huyền thoại của Apple. Họ gọi nó là Thunderstrike 2. Loại sâu này có thể được phát tán thông qua một email lừa đảo hay các thiết bị ngoại vi như ổ USB hay thậm chí qua một ethernet adapter. Thunderstrike 2 sau đó nhắm vào tùy chọn ROM của máy hoặc ẩn mình trong tùy chọn ROM của các thiết bị ngoại vi, do đó kể cả máy tính không kết nối mạng cũng có thể bị lây nhiễm. Loại sâu này cũng không thể loại bỏ khỏi firmware trừ khi bạn flash lại ROM. Và loại sâu này cũng không thể bị phát hiện bởi bất kỳ phần mềm an ninh hiện có nào.

Xeno Kovah, một trong những chuyên gia tư vấn an ninh firmware và là người tham gia phát triển Thunderstrike 2 cho biết:"Ví dụ như bạn đang quản lý một nhà máy chiết xuất uranium và bạn không kết nối với một mạng máy tính nào, nhưng mọi người mang laptop đến và chia sẻ ethernet adapter hay kết nối với ổ cứng di động để sao chép dữ liệu. Những ổ cứng di động này có tùy chọn ROM có khả năng gây ra lây nhiễm. Có thể bởi vì đó là một môi trường an toàn nên mọi người không sử dụng WiFi mà dùng ethernet adapter. Những adapter này cũng có tùy chọn ROM có thể chứa firm độc hại”.

Nếu bạn đang quản lý một nhà máy chiết xuất uranium, chắc chắn bạn không muốn có bất kỳ một loại sâu nào trong hệ thống máy tính của mình, đặc biệt là loại sâu có thể lây lan mà không bị phát hiện và có sức phá hủy mà không sợ bị tiêu diệt. Kovah đã liên hệ Thunderstrike 2 với sâu máy tính Stuxnet khét tiếng đã lây nhiễm trong cơ sở làm giàu uranium của Iran một vài năm trước đây.

​

Thunderstrike 2 là một biến thể của virus Thunderstrike được trình diễn lần đầu tiên tại hội nghị Chaos Computer diễn ra vào đầu năm nay ở Đức. Cả hai đều xâm nhập vào firmware trên Mac và hoàn toàn không bị phát hiện. Tuy nhiên, thế hệ virus đầu tiên cần có kết nối vật lý đến máy thông qua thiết bị ngoại vi Thunderbolt trong khi Thunderstrike 2 có thể được phát tán từ xa. Chính Apple cũng đã thừa nhận sự tồn tại của Thunderstrike cách đây 6 tháng và đã khắc phục các lỗ hổng mà Thunderstrike nhắm tới, do đó có thể hy vọng rằng hãng cũng sẽ vá các lỗ hổng mới mà Thunderstrike 2 có thể xâm nhập.

Điều đáng sợ là máy tính của bạn có thể trở thành nạn nhân của một loại sâu độc hại không thể bị phát hiện, Thunderstrike. Đó là một nguy cơ được công khai, và chắc chắn sẽ được khắc phục. Tuy nhiên, hãy tưởng tượng các loại sâu khác mà các chính phủ đang phát triển – các biến thể của Stuxnet có thể tiêu diệt thế giới chỉ với một lần nhấn phím. Chúng ta đều biết rằng NSA đang nghiên cứu về cách tấn công firmware và đội quân hacker của Trung Quốc rất quan tâm đến điều đó.

[video=youtube;Jsdqom01XzY]https://www.youtube.com/watch?v=Jsdqom01XzY[/video]
Clip mô tả quá trình lây nhiễm của Thunderstrike 2​

Nguồn Gizmodo​