Експерти попереджають про ризики, пов’язані з виявленням низки уразливостей в технології Thunderbolt, які відомі під назвою Thunderspy. Використовуючи їх, зловмисники можуть змінити і навіть вимкнути систему захисту інтерфейсу Thunderbolt на комп’ютері користувача.

Як результат, кіберзлочинці з фізичним доступом до певного пристрою здатні викрасти дані з нього, навіть у разі використання повнодискового шифрування і блокування за допомогою пароля або перебування пристрою у режимі енергозбереження.

“Хоча про дослідження й стало відомо громадськості через інтерес до нового вектора атаки, однак поки що мало інформації про те, як захиститися або навіть визначити, чи не стали Ви потенційною жертвою”, — розповідає Ар’є Горецький, провідний дослідник ESET.

Варто зазначити, що Thunderbolt — це інтерфейс для забезпечення швидкісних з’єднань між комп’ютерами та периферійними пристроями, такими як зовнішні накопичувачі RAID, камери, дисплеї з високою роздільною здатністю тощо.

Атаки з використанням Thunderbolt трапляються рідко, оскільки здебільшого вони є цілеспрямованими.

Існує два типи атак, націлених на безпеку Thunderbolt. Перший вид передбачає копіювання інформації про пристрої Thunderbolt, яким комп’ютер вже довіряє. Другий тип пов’язаний з вимкненням безпеки Thunderbolt назавжди з неможливістю повторного увімкнення.

“Атака з використанням копіювання подібна до методів злодіїв, які викрали ключ і зробили копію. Після цього вони можуть використовувати скопійований ключ кілька разів для відкриття замка. Друга атака є формою вимкнення мікросхеми. У цьому випадку остаточно вимикається рівень безпеки Thunderbolt і забезпечується захист від змін для неможливості їх скасування”, — пояснює Ар’є Горецький.

Обидві атаки здійснити непросто, оскільки потрібен особистий доступ до пристрою, а також інструменти для розбирання комп’ютера, приєднання програматора, зчитування вбудованого програмного забезпечення з мікросхеми SPI flash ROM, зміна коду і запис назад до мікросхеми.

Необхідність фізичного доступу до комп’ютера звужує коло потенційних жертв до особливо важливих цілей. Жертвами можуть стати керівники бізнесу, інженери, адміністративний персонал або інші співробітники, якщо зловмисник має комерційний мотив, наприклад, діє в цілях промислового шпигунства. У країнах з репресивними режимами цілями таких сучасних загроз, як Thunderspy, можуть бути політики, громадські організації та журналісти.

Для захисту від подібних атак запобігайте будь-якому несанкціонованому доступу до комп’ютера. Також потурбуйтеся про захист усі відповідних інтерфейсів та портів, наприклад, USB-C.

Рекомендацій, які допоможуть захиститися від крадіжки даних з використанням Thunderspy:

Оновлюйте операційну систему та вбудоване програмне забезпечення комп’ютера до актуальних версій. У випадку з останнім недостатньо обмежуватися лише BIOS або UEFI. Також оновлення потребує вбудоване ПЗ відеочипів, мережевих інтерфейсів, сенсорної панелі, контролерів рідкокристалічних дисплеїв тощо. Крім цього, смартфони, планшети, роутери та модеми мають власне вбудоване ПЗ, яке необхідно регулярно оновлювати.
Обмежте використання сплячого режиму чи інших гібридних режимів відключення, а краще повністю вимикайте комп’ютер, коли він не використовується. Такі дії можуть запобігти атакам з використанням пам’яті пристрою за допомогою Thunderspy.
Використовуйте повнодискове шифруваннядля внутрішніх накопичувачів і змінних носіїв. Хоч за даними досліджень технологію можна обійти, якщо комп’ютер заблокований або перебуває у сплячому режимі, однак повністю вимкнений пристрій залишався в безпеці.
У разі покупки нового комп’ютера подумайте про придбання пристрою без DMA-інтерфейсів, таких як порти Thunderbolt, ExpressCard та FireWire. Хоча вони часто можуть бути вимкнені під час налаштування вбудованого ПЗ, зловмисник із тривалим доступом до пристрою може спробувати їх повторно увімкнути.
Використовуйте надійне рішення для захисту з можливістю сканування інтерфейсу UEFI — одне з місць, де зберігається інформація про безпеку Thunderbolt.

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

Нагадаємо, нову уразливість, яка дозволяє зловмисникам отримати майже повний контроль над Wіndows або Linux системами, виявила компанія Eclypsium. За її словами, уразливими є мільярди пристроїв – від ноутбуків, настільних ПК, серверів і робочих станцій до банкоматів, верстатів з програмним управлінням, томографів та іншого обладнання спеціального призначення, яке використовується в промисловій, медичній, фінансовій та інших галузях.

Окрім цього, команда дослідників з Рурського університету в Бохумі (Німеччина) виявила нові методи атак на підписані PDF-файли. Так звана техніка Shadow Attack дозволяє хакеру приховувати і замінювати вміст в підписаному PDF-документі, не зачіпаючи цифровий підпис. Організації, урядові установи, підприємства та приватні особи часто підписують документи в форматі PDF для запобігання несанкціонованих змін. Якщо хтось вносить зміни в підписаний документ, підпис стає недійсним.

До речі, нову фішингову кампанію, націлена на користувачів WhatsApp, виявили фахівці з кібербезпеки. Цього разу зловмисники розсилають фішингові повідомлення, використовуючи бренд Nespresso. Жертву запрошують перейти за посиланням і відповісти на кілька запитань, щоб отримати в подарунок кавоварку.

Також співробітники компаній і організацій, які використовують програмне забезпечення Microsoft Office 365, стали жертвами фішинговою кампанії, в рамках якої зловмисники використовують повідомлення-приманки, замасковані під автоматичні повідомлення SharePoint, для крадіжки облікових даних.

Зауважте, що користувачі Microsoft Office 365 звинуватили компанію Microsoft в тому, що вона нібито ділиться бізнес-даними своїх клієнтів з розробниками додатків Facebook, партнерами та субпідрядниками, порушуючи політику конфіденційності.