Thunderstrike 2, een Mac-worm

Apple haalt Thunderstrike 2-experts in huis

Apple heeft twee beveiligingsonderzoekers van LegbaCore in dienst genomen. Ze werkten aan Thunderstrike 2, een bekende worm voor Macs, die in de zomer van 2015 in het nieuws was.
Gonny van der Zwaag - · Laatst bijgewerkt:

LegbaCore-logoNog meer transfernieuws: Apple heeft de twee oprichters van LegbaCore in dienst genomen. Er zou geen sprake zijn van een overname, maar de twee zouden bij de indiensttreding simpelweg zijn gestopt met hun bedrijf. Het bedrijf zou niet beschikken over intellectueel eigendom of andere waardevolle zaken. LegbaCore werkte aan de Thunderstrike 2-exploit en was gespecialiseerd in zogenaamde deep system security.

Beveiliging van iOS en OS X versterken

De twee mannen zouden in november al de overstap naar Apple hebben gemaakt, maar het nieuws is nu pas in de openbaarheid gekomen. Het zou vooral gaan om de kennis van de medewerkers, die de beveiliging van iOS en OS X kunnen gaan versterken. LegbaCore werd opgericht door Xeno Kovah en Corey Kallenberg, die nu beide in dienst van Apple zijn. Kovah heeft inmiddels bevestigd dat hij bij Apple werkt, maar wil alleen zeggen dat hij aan onbekende projecten werkt.

Het balletje kwam aan het rollen toen Trammell Hudson, ontdekker van de Thunderstrike-kwetsbaarheid, een presentatie gaf waarin de overstap van het duo ter sprake kwam. Hudson werkte afgelopen augustus nog samen met LegbaCore aan een Thunderstrike 2 proof-of-concept.

Wat was Thunderstrike ook alweer?

Thunderstrike 2 was een nieuwe firmware-worm die in de zomer van 2015 onopgemerkt je MacBook kon binnendringen. Beveiligingsonderzoekers Xeno Kovah en Tramell Hudson demonstreren in onderstaande video hoe Thunderstrike 2 te werk gaat.

Deze worm nestelt zich ongemerkt in de firmware van je MacBook en dat is ook direct waarom de worm zo hardnekkig is. Als hij er eenmaal zit, kun je hem niet verwijderen door OS X opnieuw te installeren of de harde schijf te vervangen. Software-updates die de worm bestrijden halen dan ook niets meer uit. Als uiterste oplossing zul je dus de MacBook uit elkaar moeten halen en alles resetten.

Thunderstrike-2-verspreiden

Thunderstrike maakte gebruik van een bekende kwetsbaarheid in de Thunderbolt Option ROM en werkte alleen op apparaten met een Thunderbolt-poort. De opvolger Thunderstrike 2 was gebaseerd op code van LegbaCore en voerde aanvallen op dezelfde manier uit. Het verschil is dat de worm zichzelf tussen Macs kon verspreiden. De bedenkers hadden geen kwade bedoelingen en ze hebben Thunderstrike 2 dan ook nooit in het wild losgelaten. Het ging er vooral om te laten zien dat een dergelijke worm mogelijk is.

Mogelijk heeft Apple na deze video contact opgenomen met Kovah. Volgens tweets van de man werkt hij aan “low level security” projecten.

Suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!

Informatie

Laatst bijgewerkt 4 februari 2016, 10:38
Categorie Apple
Onderwerpen beveiliging, security

Reacties zijn gesloten voor dit artikel.