سبک‌ بسیار تازه‌ای از حملات سیستم‌های مک را تهدید می‌کند

 این پژوهشگران برای اثبات مفهومی تحقیقات خود کرمی را طراحی کرده‌اند که این توانایی را دارد تا به سفت‌افزار کامپیوترهای مک حمله کرده و به‌سرعت و به‌طور خودکار از یک کامپیوتر مک به کامپیوتر مک دیگری گسترش یابد. آن‌ها نام این کرم را  Thunderstrike 2 گذاشته‌اند. کرم جدید نه تنها این توانایی را دارد تا بایوس کامپیوترهای مک را آلوده سازد، بلکه امکان حذف این کرم با فلش کردن سیستم‌عامل یا حتی جایگزین کردن هارد درایو نیز قابل پاک شدن نیست. حتا ترسناک‌تر این‌که، این حمله می‌تواند به‌طور گسترده روی سیستم‌های مک بدون وجود یک ارتباط شبکه‌ای گسترش یابد. ما در گذشته هم شاهد وجود کرم‌های سفت‌افزار بوده‌ایم، اما آن‌ها مابین دو روتر خانگی گسترش می‌یافتند و عمدتا برای آلوده‌سازی سیستم‌عامل لینوکس که روی این روترها قرار داشت مورد استفاده قرار می‌گرفتند.

کرم جدید این توانایی را دارد تا خودش را روی option ROM در دستگاه‌های جانبی که کاربر آن‌را به مک متصل می‌کند، نصب کند. آداپتور Apple’s Thunderbolt Ethernet نمونه‌ای از این دستگاه‌های جانبی به‌شمار می‌رود. این کرم در ادامه می‌تواند کامپیوترهای دیگری که این لوازم جانبی به آن‌ها متصل می‌شوند را آلوده سازد. زنو کوا در این رابطه می‌گوید: « این مدل از آسیب‌پذیری می‌تواند ماشین‌های موجود در یک شبکه را آلوده‌ کند. آلوده‌سازی دستگاه‌ها می‌تواند توسط آداپتور اترنت خریداری شده از Ebay یا وسایل جانبی که در یک کارخانه مونتاژ شده‌اند گسترش یابد. زمانی‌که یک ماشین سالم با یک دستگاه آلوده متصل به آن راه‌اندازی می‌شود، سفت‌افزار ماشین سالم اقدام به بار‌گذاری option ROM  از دستگاه آلوده می‌کند، در این مرحله کرم اقدام به مقدار دهی اولیه فرآیندی می‌کند که کدهای مخرب را روی بارکننده سفت‌افزار می‌نویسد. یکی از راه‌هایی که این کرم به‌طور اتفاقی می‌تواند گسترش یابد از طریق فروش یک آداپتور اترنت آلوده در eBay یا آلوده‌سازی آن‌ها در کارخانه است.» به‌عبارت ساده‌تر مکانیزم به کار گرفته شده در ساختار این کرم شبیه به‌ ویروس‌هایی است که به بخشی از یک فایل اجرایی می‌چسبند، با این تفاوت که رام دستگاه‌های جانبی به آسانی توانایی آلوده‌سازی طیف گسترده‌ای از دستگاه‌ها را در یک چشم به‌هم زدن دارد.

زنو کوا در همین رابطه گفته است: «مردم از این موضوع بی‌اطلاع هستند، دستگاه‌هایی با تراشه‌های ارزان قیمت به‌آسانی توانایی آلوده‌سازی سفت‌افزار دستگاه‌های آن‌ها را دارد. دستگاه شما به کرمی می‌تواند آلوده شود که بسیار آهسته و کند عمل می‌کند. اگر مردم از این موضوع اطلاع نداشته باشند که حملات این چنینی می‌تواند در این سطح رخ دهد، در نتیجه سطح امنیتی دستگاه خود را پایین می‌آورند، همین موضوع باعث می‌شود تا سیستم آن‌ها به‌طور کامل آلوده شده و در نهایت از کار بیفتد. اکسپلویت جدید به‌مراتب بدتر از استاکس‌نت است. ویروسی که از طریق یک حافظه فلش منتشر شد.»

استاکس‌نت در بیشتر موارد روی درایور کرنل در سیستم فایلی ویندوز می‌نشست. در نتیجه روی بیشتر دستگاه‌ها وجود داشت. سازندگان سخت‌افزار نه تنها به‌طور معمول امضا مربوط به سفت‌افزار خود را رمزنگاری نمی‌کنند، بلکه آن‌را به‌روز هم نمی‌کنند، اما در عوض یک لایه محافظتی برای پیشگیری از حملات را در دستگاه خود قرار می‌دهند. با این‌حال، پیاده‌سازی این چنین تغییراتی نیازمند باز طراحی معماری کل موجودیت یک سیستم است.  

زنو کوا می‌گوید: «برخی از فروشندگان شبیه به دل و لنوو به‌طور جدی در تلاش هستند تا آسیب‌پذیری را از سفت‌افزارهای خود حذف کنند. دیگر سازندگان همچون اپل همان‌گونه که گفتیم، هنوز کاری در این خصوص انجام نداده‌اند. ما تحقیقات خود را همچنان ادامه می‌دهیم تا سطح آگاهی از حملاتی که سفت‌افزارها را تهدید می‌کنند افزایش دهیم، و به مشتریان خود نشان دهیم آن‌ها نیاز دارند از فروشندگان محصولات خود در ارتباط با امنیت بهتر سفت‌افزارهایی که استفاده می‌کنند، سؤال کنند.»

اپل در این زمینه آن‌گونه که باید تهمیدات لازم را به عمل نیاورده است، سایت آرس تکنیکا گزارش داده است هکرها در جدیدترین سیستم‌عامل عرضه شده از سوی اپل، آسیب‌پذیری‌هایی را شناسایی کرده‌اند که به آن‌ها اجازه می‌دهد، بدون آن‌که نیازی به مجوز یا گذرواژه‌های لازم داشته باشند، بدافزارهای خود را نصب کنند.  گزارش منتشر شده از سوی تیم تحقیقاتی شرکت امنیتی MalwareBytes نشان می‌دهد امکان نصب انواع مختلفی از تبلیغ‌افزارها روی این سیستم‌عامل وجود دارد. اپل هنوز هیچ‌ اقدامی برای رفع این مشکل نکرده است.

در حال حاضر هیچ‌یک از محصولات امنیتی موجود در بازار، option ROM که روی آداپتورهای اترنت و دیگر محصولات قرار دارد را مورد بررسی قرار نمی‌دهد، در نتیجه هکرها می‌توانند کرم‌های خود را مابین دو ماشین بدون آن‌که از بابت شناسایی شدن نگرانی داشته باشند انتقال دهند. سازندگان محصولات امنیتی در نظر دارند ابزارهایی را در این زمینه طراحی کرده و در اختیار کاربران قرار دهند تا با استفاده از آن‌ها به بررسی option ROM دستگاه‌ها به‌پردازند. اما این ابزارها نمی‌توانند بوت‌ فلش سفت‌افزاری که روی ماشین‌ها قرار دارند را مورد بررسی قرار دهند. این سناریو حمله نشان می‌دهد، این سبک از حمله، برای نفوذ به سیستم‌های هوایی که امکان آلوده‌سازی آن‌ها به دلیل عدم وجود ارتباط شبکه‌ای تا به‌امروز امکان‌پذیر نبود، وجود دارد.