apple

Tutto ciò che c’è da sapere sul bootkit Thunderstrike per Mac

Un ricercatore ha sviluppato un bootkit insidioso in grado di prendere il controllo totale dei dispositivi Mac OS X. Tutto ciò che c’è da sapere sull’argomento.

Brian Donohue
15 Gen 2015

Si è parlato per la prima volta del bootkit firmware rivolto a Mac OS X il mese scorso, durante la 31esima conferenza del Chaos Computer Club ad Amburgo (Germania).

Il ricercatore di sicurezza IT Trammel Hudson ha sviluppato il bootkit e lo ha battezzato Thunderstrike. Esso sfrutta una vulnerabilità presente nel nucleo del sistema operativo di Apple OS X. La vulnerabilità interessa il sistema operativo in tutte le sue varie forme. Hudson ha contattato Apple che afferma di aver risolto questa vulnerabilità in tutte le tipologie di dispositivi colpiti tranne nel Macbook.

Non c’è dubbio alcuno che Thunderstrike, come qualsiasi bootkit o rootkit, sia una minaccia davvero insidiosa in grado di prendere il controllo di qualsiasi funzionalità del computer. Potremmo paragonarlo all’ebola: essere affetti da questa malattia può portare a conseguenze devastanti, anche se il rischio di essere infettati è relativamente basso.

I bootkit sono un tipo di malware rootkit che vivono all’interno del boot-sector (al di sotto del sistema operativo del computer) e sono in grado di prendere il controllo totale del sistema operativo. Colpiscono il Master Boot Record impedendo al sistema operativo di caricarsi. Anche se si elimina il sistema operativo, il bootkit rimane. In sostanza, i bootkit resistono piuttosto bene a ogni tentativo di rimozione e sono difficili da individuare, anche se i prodotti antivirus più avanzati ci riescono.

Thunderstrike è un bootkit Mac che si diffonde grazie all’hardware o mediante il cavo Thunderbolt.
Tweet

Thunderstrike è un bootkit che colpisce i dispositivi Mac OS X e può essere installato via accesso diretto all’hardware o mediante collegamento con il cavo Thunderbolt. La prima ipotesi è piuttosto improbabile che accada. Se succedesse, vorrebbe dire che la casa produttrice stessa ha installato inconsapevolmente il bootkit o un cybercriminale dovrebbe essere in grado di impossessarsi fisicamente del Macbook dell’utente per installare il malware.

Il secondo metodo, ovvero attraverso il cavo Thunderbolt, è invece molto più fattibile. È stato anche dato un nome a questo genere di operazioni: attacchi “evil maid” o attacchi finanziati dai governi ed avvengono, ad esempio, quando i computer vengono confiscati ed esaminati negli aeroporti ai controlli della dogana o in altre situazioni in cui l’utente non può controllare con i propri occhi il dispositivo.

È come l’ebola, che si trasmette solo attraverso il contatto diretto con i fluidi corporei: il dispositivo può essere colpito da Thunderstrike se qualche malintenzionato riesce ad accedervi direttamente o se collega una periferica al Mac, mediante un cavo Thunderbolt, contenente il firmware dannoso.

Il bootikt non può essere eliminato da un software antivirus in quanto prende il controllo anche delle firme e dei processi di aggiornamento. Neanche reinstallare OS X o sostituire la SSD risolveranno il problema (in quanto non c’è nulla di salvato sulla memoria).

Altri tipi di malware sono meno dannosi ma si diffondono con maggiore facilità. Rimanendo sul confronto con le normali malattie, l’influenza comune si trasmette per via aerea e quindi si propaga molto più rapidamente dell’ebola, anche se il livello di pericolosità è estremamente inferiore. Quindi un malware progettato per diminuire le prestazioni del dispositivo o per renderlo parte di una botnet costituisce un pericolo diverso rispetto a Thunderstrike, non tanto per quello che fa quanto per l’alta probabilità che si possa insinuare solamente navigando su Internet, consultando una mail o scaricando un file apparentemente non sospetto.

“Dal momento che si tratta del primo bootkit firmare rivolto a OS X, non ci sono strumenti in grado di individuarne la presenza”, ha dichiarato Hudson. “Thunderstrike ha un raggio d’azione veramente ampio: è in grado di fungere da keylogge (per rubare anche le password per la crittografia), piazzare backdoor nel kernel di OS X e bypassare le password del firmware. Il bootikt non può essere eliminato da un software antivirus in quanto prende il controllo anche delle firme e dei processi di aggiornamento. Neanche reinstallare OS X o sostituire la SSD risolveranno il problema (poiché non c’è nulla di salvato sulla memoria)”.

Il metodo migliore per proteggersi da Thunderstroke è accertarsi che nessuno possa avvicinarsi al vostro Macbook quando non siete al computer. In poche parole, fate attenzione ai furti, questo dovrebbe bastare.

Per addolcire la pillola, vi lasciamo con il successo degli AC/DC:

CES 2015: 4 tech trend preoccupanti

Anche quest’anno le porte del CES si sono aperte. È stato un evento molto interessante, con un sacco di novità. Tuttavia, dal punto di vista della sicurezza informatica, le notizie non sono tutte positive.

Privacy e bambini

SOLUZIONI TARGETED SECURITY

ENTERPRISE SOLUTIONS

Tutto ciò che c’è da sapere sul bootkit Thunderstrike per Mac

I Mac sono sicuri? Minacce per gli utenti macOS

Nuove funzionalità per la salvaguardia della privacy nei dispositivi Apple

CES 2015: 4 tech trend preoccupanti

Consigli

Ecco perché sul vostro iPhone non dovreste mai utilizzare l’ID Apple di qualcun altro

Mese della Cybersecurity Awareness

In che modo i trojan bancari bypassano l’autenticazione a due fattori?

Sicurezza online: 6 semplici regole adatte a tutte le età

Iscriviti per ricevere le nostre notizie via e-mail

Soluzioni per gli utenti privati

Prodotti per piccole imprese

Prodotti per medie imprese

Soluzioni aziendali

Securelist

Eugene Personal Blog

Encyclopedia