_Cibersegurança

O primeiro vírus para firmware de Mac do mundo está entre nós, e ele é assustador

Chamado Thunderstrike 2, worm apresentado em conferência white hat pode infectar máquinas mesmo sem conexão com a internet.

“Não se preocupe”, disse um colega seu quando você estava pesquisando para comprar um novo computador. “Os Macs são virtualmente à prova de vírus.” Seu amigo estava errado.

Uma equipe de hackers white hat anunciou o desenvolvimento do primeiro worm que é perigoso o suficiente para vencer a segurança do sistema da Apple. O chamado ataque Thunderstrike 2 pode ser feito através de um email de phishing ou um dispositivo periférico como um stick USB ou um adaptador Ethernet.

O worm tem como alvo a option ROM da máquina, ou então passa a viver na option ROM de periféricos para que até mesmo computadores não conectados à internet possam ser infectados. O worm não pode ser removido do firmware do Mac a não ser que você abra a máquina e faça o re-flash do chip manualmente . Ah sim: o worm não é detectado por nenhum software de segurança existente, então boa sorte.

“Vamos dizer que você está rodando uma centrífuga de refinamento de urânio e ela não está conectada a nenhuma rede, mas pessoas que vão até ela com um laptop compartilham adaptadores Ethernet e SSDs externos para transferir dados,” explicou Xeno Kovah, um dos consultores de segurança de firmware que desenvolveu o worm à Wired. “Esses SSDs têm option ROMs que podem carregar esse tipo de infecção. Talvez por ser um ambiente seguro eles não usem Wi-Fi, e sim adaptadores Ethernet. Esses adaptadores também contam com option ROMs que podem carregar esses códigos maliciosos.”

Se você por acaso cuida de uma centrífuga de urânio, ter um vírus no seu sistema de computadores certamente não é algo que vai ajudar no trabalho, especialmente um que se espalha sem ser detectado e destrói sem medo de ser destruído. Kovah comparou o Thunderstrike 2 ao infame worm Stuxnet que infectou usinas de enriquecimento de urânio no Irã há alguns anos.

Mas não se desespere ainda. O Thunderstrike 2 aparentemente recebeu esse nome como uma homenagem ao vírus Thunderstrike original, que foi mostrado no Chaos Computer Congress na Alemanha no começo do ano. E, assim como seu sucessor espiritual, o Thunderstrike tinha como alvo o firmware do Mac e não podia ser detectado. No entanto, o vírus original exige um acesso físico à máquina via periféricos Thunderbolt, enquanto o Thunderstrike pode ser transmitido remotamente. A Apple reconheceu a existência do Thunderstrike há mais de seis meses e corrigiu suas vulnerabilidades, então há esperança de que um patch seja liberado para acabar com as falhas que levam ao Thunderstrike 2.

Dito isso, a parte realmente assustadora não é imaginar que seu computador pode ser vítima de um worm indetectável chamado Thunderstrike 2. Essa ameaça já é conhecida e provavelmente será consertada. A parte preocupante é imaginar quais outros tipos de worms estão sendo desenvolvidos pelo mundo – o Stuxnet precisava de apenas do aperto de uma tecla para iniciar o fim do mundo. Sabemos que a NSA trabalha duro em hacks de firmware também, e que a China tem um exército de hackers interessados nisso — o que eles serão capazes de fazer é o que realmente é preocupante.

[Wired]

Imagem via Flickr / Tobias Bischoff

Sair da versão mobile