Рубрика развивается при поддержке HP logo intel logo Advertisement

Исследователи без подключения к интернету заразили PC и Mac вирусом, не удаляемым переустановкой системы Статьи редакции

Специалисты по компьютерной безопасности из исследовательской фирмы LegbaCore и фонда Two Sigma Investments (TSI) доказали возможность заражать как обычные ПК, так и компьютеры Apple, при помощи вируса, передающегося через обычные Ethernet-переходники без подключения к интернету. Об этом сообщает Wired.

Переходник для MacBook с порта Thunderbolt на Ethernet. Фото HardwareLUXX

Изучением уязвимостей в прошивках современных компьютеров специалисты LegbaCore и TSI занялись ещё в 2014 году. Как выяснилось тогда, проблемы коснулись 80% исследуемых ими устройств Dell, Lenovo, Samsung и HP.

Впоследствии эксперты обнаружили, что пять из шести найденных ими уязвимостей проявляются и на компьютерах Mac от Apple, которые согласно распространённому мнению считаются более безопасными, чем обычные ПК.

Люди слышат об атаках на ПК и предполагают, что прошивки Apple лучше. Так что мы пытаемся прояснить, что каждый раз, когда вы слышите об атаках на прошивки, это касается практически всех [компьютеров на архитектуре] x86.

Kovah, владелец LegbaCore

Атака под названием Thunderstrike 2, описанная исследователями, начинается с заражения компьютера при помощи вредоносного кода, отправленного в виде фишингового сообщения через электронную почту. После этого вирус заражает все периферийные устройства с Option ROM — например, сетевые адаптеры. Если заражённый сетевой адаптер вставят в другой компьютер, подверженный атаке, при загрузке системы вирус попадёт на его прошивку и продолжит распространяться через новые периферийные устройства.

Ethernet-адаптер сравнительно популярны среди владельцев компьютеров Macbook Air, у которых отсутствует собственный порт Ethernet, и расширение функциональности происходит через один из двух доступных USB-портов. Исследователи демонстрировали возможности вируса на переходнике с Thunderbolt на Ethernet, однако уязвимыми являются также внешние SSD или RAID-контроллеры.

Специалисты LegbaCore и TSI разработали метод атаки самостоятельно, однако заявили, что такие уязвимости могут стать началом массового распространения вируса — например, если хакеры начнут продавать заражённые адаптеры на eBay.

Люди не знают, что эти маленькие дешёвые устройства на самом деле могут заражать их прошивку. Можно заразить таким червём весь мир, начав распространять его очень медленно и неприметно. Если люди не будут знать, что атаки можно проводить на таком уровне, значит, они не будут готовы к защите, и однажды такая атака полностью разрушит их систему.

Kovah, владелец LegbaCore

Специалисты уведомили Apple об уязвимостях, но компания исправила только одну из них полностью, ещё одну — частично. Три остальных устранены не были.

По словам исследователей, единственным способ избавиться от вируса является перепрошивка устройства — обычные антивирусы или даже переустановка системы его не удалят. Прошивка компьютера (BIOS, EFI или UEFI) привлекательна для хакеров: антивирусные программы не могут искать в ней угрозы, а пользователи не имеют лёгкого способа узнать, получил ли к ней доступ кто-то посторонний. Производители прошивок обычно не шифруют их содержимое, облегчая хакерам задачу по его изменению.

Подробности взлома специалисты пообещали представить на конференции Black Hat, которая пройдёт в Лас-Вегасе 6 августа.

{ "author_name": "Никита Лихачёв", "author_type": "self", "tags": ["\u0445\u0430\u043a\u0435\u0440\u044b","\u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0438","\u043f\u0440\u043e\u0448\u0438\u0432\u043a\u0430","\u043d\u043e\u0432\u043e\u0441\u0442\u044c","\u043d\u043e\u0432\u043e\u0441\u0442\u0438","\u0432\u0438\u0440\u0443\u0441\u044b","uefi","two_sigma_investments","thunderstrike_2","mac","legbacore","efi","black_hat","bios"], "comments": 45, "likes": 25, "favorites": 16, "is_advertisement": false, "subsite_label": "tech", "id": 55861, "is_wide": true, "is_ugc": true, "date": "Tue, 04 Aug 2015 11:57:57 +0300", "is_special": false }
Advertisement
0
45 комментариев
Популярные
По порядку
Написать комментарий...

Трезвый Петя

45
Ответить

Трезвый Петя

Даниил
39

А, подождите, то xDSL был. Вот Ethernet.

Ответить

Трезвый Петя

Даниил
11

Мастер-класс «Как дважды собрать лайки за одну и ту же картинку».

Ответить

Негативный Мика

Даниил
0

и третий раз, сообщив об этом

Ответить

Автономный нос

Даниил
0

Всегда актуально.)

Ответить

Идеальный бокал

12

Касперский: "Я же говориииил, ставьте антивирус!"

- Но антивирус не поможет.

Касперский: "Всё равно ставьте"

Ответить

Автономный нос

4

Потому-то в макбуках уже и нет Ethernet-порта, в переходник идет отдельно и за доп. плату. Забота о пользователях!

Ответить

Трезвый Петя

Polina
17

По-моему, у яблочников вообще всё идет отдельно и за доп. плату.

Ответить

Мертвый Мика

Даниил
41
Ответить

Автономный нос

Даниил
41

Ну как же. Ненависть от любителей Android идет совершенно бесплатно.

Ответить

Трезвый Петя

Polina
3

ненависть

Не надо выдавать желаемое за действительное.

Ответить

Автономный нос

Даниил
0

Желаемое? Я вообще за мир во всем мире.) Кому что нравится, тем и пользуется. Мне-то какая разница?

Ответить

Семейный утюг

Даниил
14

То ли дело другие производители - на свежекупленном устройстве уже предустановленно полторы тонны ненужного говна.

Ответить

Коммерческий

Василий
–1

хм, дорогущий iPhone или неодинаковый смартфон с кучей говна, которая на большинстве устройств доступна к удалению..

Ответить

Семейный утюг

it-trend
5

дорогущий айфон

неодинаковый смартфон

Ответить

Коммерческий

Василий
2

ты мне показываешь одну линейку Samsung (тот ещё пример) с разными размерами памяти. Можно ещё посмотреть линейку iPhone 6/6+ и будущую 6S/6S+.
И ты же не будешь утверждать, что в реальности S6 от S6 Edge офигенно отличается?

Ответить

Семейный утюг

it-trend
0

Там есть еще duos, note, note edge, mini, mini duos и тд. Можно еще линейку sony взять или htc, там тоже феноменальные отличия. Ну и цена от "дорогущего айфона" не особо отличается. Сравнимый флагман от А бренда стоит примерно столько же, только с предустановленным говном, о чем и шла речь. На этом предлагаю закончить этот бессмысленный спор.

Ответить

Коммерческ

Василий
0

Duos - это всего лишь S6 с двумя картами. Он и не должен быть какой-то особенный. Или ты любителей двух симок хочешь ущемить.
Note и особенно Note Edge офигенно отличаются.
Что ты дурачка изображаешь?

Ответить

Коммерческ

Василий
–1

Ох, дальше не прочитал. Начал сравнивать флагманы от А бренда (HTC и LG те же), которые щас стоят 30+, как в старые времена. С iPhone. Пхахаха.

Ответить

Обычный рак

Polina
7

Вообще то в том и проблема, что приходится покупать переходник, который может быть заражен.

Ответить

Коммерческий космос

Евгений
2

Макбуки у Apple получились такими защищёнными, что им пришлось придумать дополнительный гемор для пользователей, чтобы исправить это.

Ответить

Автономный нос

Евгений
1

Да переходники эти не особо нужны нынче, не самом деле. Хотя те же внешние SSD как раз полезны, но через них и раньше заражали.

Ответить

Подходящий пришелец

2

| Исследователи научились заражать PC и Mac без интернета неудаляемым переустановкой системы вирусом

Только с третьего раз смог прочитать заголовок.

Ответить

Технологический микрофон

DELETED
0

Туда и обратно?

Ответить

Ежегодный цвет

1

По идее, этот адаптер не нужен, если никогда не подключаться к интернету кроме как через вай-фай?
И все равно в безопасности)

Ответить

Трезвый Петя

Наталья
0

А через что подключается Wi-Fi? Не через роутер ли?

Ответить

Ежегодный цвет

Даниил
0

а роутеру зачем этот адаптер?

Ответить

Трезвый Петя

Наталья
0

Что-то я несколько невнимательно прочитал новость и не заметил, что речь идёт только про адаптеры. С другой стороны,
вирус заражает все периферийные устройства с Option ROM

В тред призываются специалисты, которые скажут, в каких устройствах оно используется.

Ответить

Критический

Даниил
2

Если я правильно понимаю, то Option ROM — это прошивка, которая может хранится на микросхеме в сетевой карте, на встроенном в материнку сетевом адаптере и т.д. В настройках BIOS можно выбрать, чтобы при загрузке BIOS'а вызывалась Option ROM, и с помощью неё операционная система загружается с сервера в локальной сети, например. В учебных заведениях так часто делают.

Ответить

Генетический

Синдром
0

Да, все правильно понимаете. Через Option Rom еще TPM обходят (крипточип на материнке, который использует, например, Microsoft Bitlocker).

Ответить

Автономный нос

Даниил
0

А роутеру зачем этот переходник? В настройки роутера можно и по wifi влезть.

Ответить

Автономный нос

1

А вообще спасибо TJ за материал и идею.)

Ответить

Ежегодный цвет

Polina
6

Что вы задумали?))

Ответить

Новый кот

Polina
2

За вами уже выехали.

Ответить

Автономный нос

Lev
6

Колу и гамбургер захватите?

Ответить

Новый кот

Polina
0

Это не ко мне вопрос)))

Ответить

Утренний кот

Polina
0

Нету, вместо этого, на газовую шашку и тейзер заменили. ETA: 4 min.

Ответить

Блестящий ящик

1

Маки-то зачем? Это же не настоящие компьютеры.

Ответить

Подходящий пришелец

Антон
1

Это вообще цветы.

Ответить

Качественный Мика

1

Я думал, тут будет про превращение любого USB-устройства в устройство ввода и последующую подмену загрузчика (на хабре недавно было), а оно воно чё... А вообще, сейчас, наверное, выгоднее роутеры заражать. В них столько дыр, что диву даешься.

Ответить

Закрытый Макс

0

В целом, это уже известно. Ещё Сноуден говорил, что у анб есть бэкдоры (вроде и официальные и вирусы) для прошивок жёстких дисков. Получается, они распространили это на переходники и иже с ними. Вот уж не думал, что там сложная прошивка.

Ответить

Критический якорь

Закрытый
4

В прошлом году прогремела новость об уязвимости в USB-контроллерах.

https://xakep.ru/?s=badUsb

Высказывались подозрения, что благодаря ей и Иранская ядерная программа пострадала.

Ответить

Религиозный Филипп

0

Ну совершенно же новый алгоритм надо использовать при защите, епту
Как дети малые, ей богу

Пы.Сы.
на крайняк - пользуйтесь только флешкой-маркером как внешним устройством

Ответить

Критический якорь

Miles
0

.bat'ники?

Ответить

Нормальный магнит

Синдром
0

.vat'ники

Ответить
Читать все 45 комментариев
Обсуждаемое
Twitter
Новости
Полиция Теннесси отобрала у женщины «оскорбительный» номерной знак. Он состоял из года высадки на Луну и термина «pwn»
В игровом мире это означает безоговорочную победу над противником.
Новости
В Москве задержали шесть противников обязательной вакцинации. Они хотели провести митинг
Задержанные также собирались подписать письмо.
Популярное за три дня
Интернет
Симоньян рассказала о новой программе на RT, которую будет вести Шетнер. Он ответил, что «не знает эту женщину»
Актёр известен по роли капитана Кирка в сериале «Звёздный путь» (Star Trek).
Twitter
Интернет
Кот Степан печально смотрит на алкоголь под хиты прошлого. В соцсетях его считают символом каждой грустной вечеринки
Поговорили с хозяйкой кота, чтобы убедиться: Степан не грустит — он просто засыпает.
null