Elke arme ziel die ooit de vernedering heeft moeten ondergaan van het scannen en terughalen van hun documenten na een bezoekje van malware, weet hoe naar die motherfuckers zijn. Maar welke malware je ook bent tegengekomen, het is waarschijnlijk niet naarder dan Thunderstrike. Het is de ergste soort malware die er is. Dit wens je serieus niemand toe.Thunderstrike is een nieuw proof-of-concept aanval gericht op Mac-computers, en werd vorige maand onthuld door programmeur en hacker Trammel Hudson op het jaarlijkse Chaos Communication Congress. Het befaamd congres in Duitsland wordt bezocht door hackers en digitale activisten van over de hele wereld. Het verschil tussen Thunderstrike en andere malware die het zo gevaarlijk maakt, is niet hoe het geïnstalleerd wordt, maar waar.In plaats van dat het stuk software het besturingssysteem aanvalt, richt het zich op de software daaronder, de firmware of BIOS. Zie het als een versimpeld besturingssysteem die alle lagere functies van een computer regelt voordat deze opstart, dus de koeling tot energiebeheer. (Wanneer je ventilatoren klinken als een vliegtuig, dan weet je wie je moet bedanken)
Maar Thunderstrike kan meer schade aanrichten dan alleen je energierekening spekken. De malware registreert je toetsaanslagen – wachtwoorden dus – en opent vervolgens de deur voor meer chaos in je besturingssysteem. Chaos is in dit geval ook echt nare chaos, dus toegang tot data die normaal gesproken alleen voor de firmware bedoeld is, en zelfs besturing op afstand.Computerbeveiligingsexpert Rob Graham schreef in 2013 over het concept, en legde uit hoe zo'n aanval vervolgens verspreidde."Wat hackers kunnen doen is je BIOS flashgeheugen herschrijven, waarbij ze hun eigen code toevoegen bij het gedeelte dat het opstarten regelt. Het is best lastig, want op een bepaald punt geeft de BIOS de controle over het besturingssysteem door en stopt deze met werken. Er zijn meerdere technieken die een vijandelijke BIOS zou kunnen toepassen om die controle wel te behouden. In de eerste fase van het opstarten gebruikt het besturingssysteem de BIOS bijvoorbeeld om de harde schijven te kunnen lezen. Op dit punt kan de BIOS toeslaan, want hij kan hier kijken naar welke bestanden geüpload worden, en in plaats daarvan zijn eigen bestanden uploaden. Als het besturingssysteem daarna zijn eigen stuurprogramma's gebruikt, zit de vijandelijke code al in het besturingssysteem."
Het wordt erger. Een aanval op een de firmware van een computer kun je niet zomaar oplossen door het besturingssysteem opnieuw te installeren, en ook niet door de harde schijven of flashgeheugenchips te vervangen. Eenmaal op zijn plek, kan het helleprogramma zelfs Apple's vermogen te firmware up te daten saboteren. Daarmee word het nagenoeg onmogelijk weg te halen, behalve voor de persoon die het daar in eerste instantie neer had gezet.Maar daar ligt de uitdaging: Thunderstrike een kwetsbare computer in helpen. De aanvalsnaam komt namelijk van zijn manier van infiltreren: door de Thunderbolt-poort van Apple, een standaard voor het fysiek verbinden van apparatuur, zoals een monitor of harde schijf.Kort gezegd: de malware heeft een fysieke toegangsdeur nodig. Als je een gemodificeerde Thunderbolt Ethernet adapter inplugt, en de machine reboot, heb je een bedorven Apple.(Dit geldt trouwens alleen op Apple-computers die sinds 2011 gebouwd zijn, eerdere Apples hoeven zich niet aangesproken te voelen.)
Dit is niet de eerste keer dat we horen van een poging om in een computers firmware in te breken. Meerdere NSA documenten bevatten verhalen over pogingen de firmware van computers en netwerkapparatuur te infecteren. Er was ook een merkwaardig geval waarin beveiligingsconsultant Dragos Ruiu claimde dat enkele van zijn computers besmet waren door een onbekend firmware-gericht malware. Het werd heel toepasselijk als "badBIOS" betiteld, en Ruiu beweerde dat het zeer gevaarlijk was. Het kon zowel Macs als PCs besmetten, en was uitzonderlijk moeilijk te detecteren. Het mooiste (of engste) van allemaal is nog wel dat het zichzelf naar computers kon verplaatsen die compleet van het netwerk waren afgesloten (airgapped), door gebruik te maken van hoge-frequentie geluiden.
Ruiu's beweringen werden met gezond scepticisme verwelkomd. Dat was niet zonder reden, want firmware wordt voor elke machine, afhankelijk van de componenten, erg specifiek aangepast. Dat een malware zich draadloos kon verspreiden tussen verschillende merken en modellen, klonk heel erg vergezocht, of in ieder geval absurd moeilijk om voor elkaar te krijgen. Hudson is het daar mee eens. "Zover wij weten zijn er geen Mac firmware bootkits in het wild gesignaleerd. Thunderstrike is alleen een proof-of-concept, zonder enige schadelijke lading," schreef Hudson op zijn site in een FAQ die volgde op zijn presentatie op het congres.
Maar het feit dat het mogelijk is, en dat Thunderstrike op zo veel verschillende modellen werkt, is zeker reden voor enige bezorgdheid. Apple heeft onlangs de nieuwste modellen iMac Retina en Mac Mini gepatched, en soortgelijke patches zouden, volgens Hudson, binnenkort ook voor oudere modellen moeten komen. Hij waarschuwde echter wel dat oudere systemen nog wel naar een kwetsbare staat gehaald kunnen worden. En dat andere punten waarop ze uitgebuit konden worden, als opening naar vergelijkbare resultaten konden dienen, bleek uit een presentatie op de conferentie over een stuk software die Dark Jedi genoemd wordt.Weet je die mooie dagen nog, toen malware alleen inhield dat je computer gegijzeld gehouden werd voor wat geld?
Advertentie