{"id":5461,"date":"2015-01-15T17:10:48","date_gmt":"2015-01-15T17:10:48","guid":{"rendered":"http:\/\/kasperskydaily.com\/italy\/?p=5461"},"modified":"2020-02-26T17:27:54","modified_gmt":"2020-02-26T15:27:54","slug":"thunderstrike-mac-osx-bootkit","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/thunderstrike-mac-osx-bootkit\/5461\/","title":{"rendered":"Tutto ci\u00f2 che c’\u00e8 da sapere sul bootkit Thunderstrike per Mac"},"content":{"rendered":"

Si \u00e8 parlato per la prima volta del bootkit firmware rivolto a Mac OS X<\/a> il mese scorso, durante la 31esima conferenza del Chaos Computer Club ad Amburgo (Germania).<\/p>\n

Il ricercatore di sicurezza IT Trammel Hudson ha sviluppato il bootkit e lo ha battezzato Thunderstrike. Esso sfrutta una vulnerabilit\u00e0 presente nel nucleo del sistema operativo di Apple OS X. La vulnerabilit\u00e0 interessa il sistema operativo in tutte le sue varie forme. Hudson ha contattato Apple che afferma di aver risolto questa vulnerabilit\u00e0 in tutte le tipologie di dispositivi colpiti tranne nel Macbook.<\/p>\n

Non c\u2019\u00e8 dubbio alcuno che Thunderstrike, come qualsiasi bootkit o rootkit<\/a>, sia una minaccia davvero insidiosa in grado di prendere il controllo di qualsiasi funzionalit\u00e0 del computer. Potremmo paragonarlo all\u2019ebola: essere affetti da questa malattia pu\u00f2 portare a conseguenze devastanti, anche se il rischio di essere infettati \u00e8 relativamente basso.<\/p>\n

I bootkit sono un tipo di malware rootkit<\/a> che vivono all\u2019interno del boot-sector (al di sotto del sistema operativo del computer) e sono in grado di prendere il controllo totale del sistema operativo. Colpiscono il Master Boot Record impedendo al sistema operativo di caricarsi. Anche se si elimina il sistema operativo, il bootkit rimane. In sostanza, i bootkit resistono piuttosto bene a ogni tentativo di rimozione e sono difficili da individuare<\/a>, anche se i prodotti antivirus pi\u00f9 avanzati ci riescono<\/a>.<\/p>\n

Thunderstrike \u00e8 un bootkit Mac che si diffonde grazie all\u2019hardware o mediante il cavo Thunderbolt.<\/p>Tweet<\/a><\/blockquote>\n

Thunderstrike \u00e8 un bootkit che colpisce i dispositivi Mac OS X e pu\u00f2 essere installato via accesso diretto all\u2019hardware o mediante collegamento con il cavo Thunderbolt. La prima ipotesi \u00e8 piuttosto improbabile che accada. Se succedesse, vorrebbe dire che la casa produttrice stessa ha installato inconsapevolmente il bootkit o un cybercriminale dovrebbe essere in grado di impossessarsi fisicamente del Macbook dell\u2019utente per installare il malware.<\/p>\n

Il secondo metodo, ovvero attraverso il cavo Thunderbolt, \u00e8 invece molto pi\u00f9 fattibile. \u00c8 stato anche dato un nome a questo genere di operazioni: attacchi \u201cevil maid\u201d o attacchi finanziati dai governi ed avvengono, ad esempio,\u00a0 quando i computer vengono confiscati ed esaminati negli aeroporti ai controlli della dogana o in altre situazioni in cui l\u2019utente non pu\u00f2 controllare con i propri occhi il dispositivo.<\/p>\n

\u00c8 come l\u2019ebola, che si trasmette solo attraverso il contatto diretto con i fluidi corporei: il dispositivo pu\u00f2 essere colpito da Thunderstrike se qualche malintenzionato riesce ad accedervi direttamente o se collega una periferica al Mac, mediante un cavo Thunderbolt, contenente il firmware dannoso.<\/p>\n

Il bootikt non pu\u00f2 essere eliminato da un software antivirus in quanto prende il controllo anche delle firme e dei processi di aggiornamento. Neanche reinstallare OS X o sostituire la SSD risolveranno il problema (in quanto non c\u2019\u00e8 nulla di salvato sulla memoria).<\/div>\n

Altri tipi di malware sono meno dannosi ma si diffondono con maggiore facilit\u00e0. Rimanendo sul confronto con le normali malattie, l\u2019influenza comune si trasmette per via aerea e quindi si propaga molto pi\u00f9 rapidamente dell\u2019ebola, anche se il livello di pericolosit\u00e0 \u00e8 estremamente inferiore. Quindi un malware progettato per diminuire le prestazioni del dispositivo o per renderlo parte di una botnet \u00a0costituisce un pericolo diverso rispetto a Thunderstrike, non tanto per quello che fa quanto per l\u2019alta probabilit\u00e0 che si possa insinuare solamente navigando su Internet, consultando una mail o scaricando un file apparentemente non sospetto.<\/p>\n

\u201cDal momento che si tratta del primo bootkit firmare rivolto a OS X, non ci sono strumenti in grado di individuarne la presenza\u201d, ha dichiarato Hudson. \u201cThunderstrike ha un raggio d\u2019azione veramente ampio: \u00e8 in grado di fungere da keylogge (per rubare anche le password per la crittografia), piazzare backdoor nel kernel di OS X e bypassare le password del firmware. Il bootikt non pu\u00f2 essere eliminato da un software antivirus in quanto prende il controllo anche delle firme e dei processi di aggiornamento. Neanche reinstallare OS X o sostituire la SSD risolveranno il problema (poich\u00e9 non c\u2019\u00e8 nulla di salvato sulla memoria)\u201d.<\/p>\n

Il metodo migliore per proteggersi da Thunderstroke \u00e8 accertarsi che nessuno possa avvicinarsi al vostro Macbook quando non siete al computer. In poche parole, fate attenzione ai furti, questo dovrebbe bastare.<\/p>\n

Per addolcire la pillola, vi lasciamo con il successo degli AC\/DC:<\/p>\n