BlackLotus се предлага на подземни форуми като всемогъщ фърмуерен руткит, способен да оцелее при всякакви опити за премахване и да заобиколи най-модерните защити на Windows. Разбира се, ако реални проби от злонамерен софтуер (зловреден софтуер) могат да докажат реалността на предложението.
Мощен нов руткит за UEFI, за който се съобщава, че се продава в подземни форуми, предлага разширени функции за атака, които досега бяха достъпни само за разузнавателните агенции и спонсорираните от държавата групи за заплахи. BlackLotus, както неизвестният доставчик нарече зловреден софтуер, е фърмуерен руткит, който може да заобиколи защитата на Windows, за да стартира злонамерен код на най-ниското ниво на защитните пръстени на x86 архитектурата.
Според изследователи по сигурността, които са открили реклами на BlackLotus във форуми за злонамерен софтуер, един потребителски лиценз за rootkit струва до $5, а последващото възстановяване на код струва "само" $200. Предвид възможностите, изброени от продавача, дори харченето на $5k е много доходоносно за киберпрестъпниците и хакерите по целия свят.
Както установи изследователят по сигурността Скот Шаферман, BlackLotus е написан на асемблер и C езици, тежи 80 KB и е независим от доставчика. Руткитът включва защита на виртуална машина, отстраняване на грешки и обфускация на кода за блокиране или осуетяване на опити за анализ, осигурява „защита на агент“ на ниво ядро (пръстен 0) за запис в UEFI фърмуера и идва с пълнофункционално ръководство за инсталиране и ЧЗВ.
Както всеки друг подходящ руткит, BlackLotus се зарежда в ранните етапи на процеса на зареждане преди фазата на стартиране на Windows. Зловреден софтуер може да заобиколи много защити на Windows, включително Secure Boot, UAC, BitLocker, HVCI и Windows Defender, като същевременно предлага възможност за изтегляне на неподписани драйвери. Други разширени функции на злонамерения софтуер включват пълнофункционален режим на прехвърляне на файлове и „уязвим подписан буутлоудър“, който не може да бъде анулиран, без да засегне стотици буутлоудъри, които все още се използват днес.
Скот Шеферман подчертава опасността, която BlackLotus може да представлява за съвременната сигурност, базирана на фърмуер, правейки ниво на заплаха, което преди беше достъпно само за спонсорирани от държавата Advanced Persistent Threats (APT) като руското GRU или китайското APT 41, достъпно за всеки. Новият UEFI rootkit може да бъде истински скок напред за киберпрестъпниците по отношение на лекота на използване, мащабируемост, достъпност, устойчивост, избягване и потенциал за унищожаване.
UEFI руткитите някога се смятаха за много редки и специализирани заплахи, но много открития през последните няколко години показаха много различен сценарий. Що се отнася до BlackLotus, общността по сигурността ще трябва да анализира извадка от реалния свят на зловреден софтуер, за да определи дали рекламираните функции са реални, дали е готов за разпространение или е просто добре изработена измама.
Можете да помогнете на Украйна да се бори срещу руските нашественици. Най-добрият начин да направите това е да дарите средства на въоръжените сили на Украйна чрез Savelife или през официалната страница НБУ.
Също интересно:
- SpyBuster на MacPaw вече защитава от руски кибер заплахи в браузъра
- Google: Руски хакери създадоха фалшиво украинско приложение