Thunderstrike è il malware letale per il tuo Mac

​Chiunque abbia subito l'umiliazione di epurare, scansionare e ripristinare i propri file dopo un attacco di un malware sa quanto siano stronzi i virus. Ma qualsiasi cosa abbia colpito il vostro computer non potrà essere peggio di Thunderstrike, il peggior tipo di malware che esista.

Thunderstrike è il nuovo attacco contro i Mac, per ora soltanto abbozzato, che è stato rivelato dal programmatore e hacker Trammell Hudson in occasione dell'annuale Chaos Communication Congress, una famosa conferenza che si tiene in Germania, a cui partecipano hacker e attivisti digitali provenienti da tutto il mondo. Ciò che rende Thunderstrike così diverso dal tipico malware non è il modo in cui viene installato, ma il luogo.

Piuttosto che attaccare il sistema operativo di un computer, Thunderstrike colpisce il software che sta alla base, il firmware o BIOS. Pensatelo come un sistema operativo semplificato che si appropria di tutte le funzioni di base di un computer, dal sistema di gestione energetica a quello di raffreddamento.(Quando la ventola del vostro laptop inizia a fare il rumore del motore di un jet, per esempio, dovete ringraziare il firmware.)

Ma Thunderstrike può fare molti altri danni oltre che far alzare il costo della vostra bolletta energetica. Può loggare keystroke—password, sostanzialmente—e compromettere il sistema operativo all'avvio, aprendo una sorta di vaso di Pandora. Pensate all'accesso remoto o all'accesso a dati normalmente inaccessibili dal solo firmware.

L'esperto di sicurezza Rob Graham, parlando del concept di questo attacco nel 2013 ha spiegato come si diffonderebbe un malware del genere:

"Ciò che gli hacker possono fare è sovrascrivere la memoria flash di BIOS, aggiungendo i propri programmi. È un'operazione un po' complicata perché può succedere che il BIOS dia il controllo al sistema operativo e smetta di funzionare. Ci sono alcune tecniche che un BIOS ostile deve usare per mantenere il controllo. Per esempio, nella prima fase dell'avvio il sistema operativo usa i driver del BIOS per leggere gli hard drive. Dunque il BIOS deve guardare quali file vengono caricati e poi caricare delle versione ostili di alcuni di essi. A quel punto, una volta che il sistema operativo passa a usare il driver del proprio dispositivo, il programma ostile sta già funzionando all'interno del sistema operativo."

E il peggio deve ancora venire. Un attacco al firmware di un computer non può essere sventato semplicemente reinstallando Windows o OS X, né sostituendo l'hard drive del computer o i chip della memoria flash. Ah, e per ora non esiste un modo per rilevarlo. Una volta infettato, disabilita anche la possibilità di Apple di aggiornare il firmware, rendendo Thunderstrike quasi impossibile da rimuovere per chiunque non sia la persona che lo ha installato.

Ma è qui la sfida: mantenere Thunderstrike su un computer vulnerabile. L'attacco è stato chiamato così perché viene recapitato utilizzando Thunderbolt, tecnologia di input/output di Apple, uno standard per connettere fisicamente periferiche, come monitor esterni o hard drive. In altre parole, richiede l'accesso fisico al dispositivo. Collega un adattatore ethernet Thunderbolt modificato, ad esempio, riavvii il dispositivo, e ti ritrovi con un Mac infetto. (Vale solo per i computer costruiti dopo il 2011, tuttavia. I Mac precedenti a quell'anno, senza Thunderbolt, non sono coinvolti.)

Non è la prima volta che sentiamo parlare di tentativi di compromettere il firmware di un computer. Molti documenti della NSA parlano di sforzi estremamente mirati per compromettere i firmware di dispositivi di networking e computer. C'è anche stato, nel 2013, lo strano caso di un consulenza sulla sicurezza, Dragos Ruiu, che ha affermato che alcuni dei suoi computer erano stati colpiti da uno sconosciuto malware che colpiva il firmware. Soprannominato "badBIOS," ha affermato che il malware era particolarmente dannoso; avrebbe potuto colpire i firmware di Mac e PC, era quasi impossibile da rilevare e poteva trasmettersi a computer che erano completamente disconnessi dal network utilizzando suoni ad alta frequenza.

Allora le persone hanno guardato alle dichiarazioni di Ruiu con una buona dose di scetticismo, e per dei motivi validi. Il firmware è altamente specifico, personalizzato per gli esatti componenti che sono all'interno di un dato dispositivo. Essere in grado di diffondere un tale malware senza cavi e tra diversi modelli e marche di computer sembrava impossibile, e molto difficile da realizzare. Certamente, stando alle parole di Hudson "per quanto ne sappiamo non esistono bootkit per i firmware MAC, e Thunderstrike è soltanto un abbozzo che non ha alcuno scopo dannoso," ha scritto Hudson sul suo sito nella sezione FAQ

Ma il fatto che sia possibile, e che Thunderstrike funzioni su molti modelli di Mac suscita non poche preoccupazioni. Apple ha già aggiornato i più recenti iMac Retina e Mac Mini, secondo Hudson, e aggiornamenti simili saranno presto disponibili per i Mac più vecchi.

Vi ricordate i cari vecchi tempi in cui i malware tenevano in ostaggio il vostro computer per soldi?