BlackLotus se nudi na underground forumima kao svemoćni firmver rootkit koji je sposoban da preživi svaki pokušaj uklanjanja i zaobiđe najnaprednije Windows zaštite. Naravno, ako stvarni uzorci zlonamjernog softvera (malware) mogu dokazati realnost prijedloga.
Snažan novi UEFI rootkit koji se navodno prodaje na podzemnim forumima nudi napredne funkcije napada koje su ranije bile dostupne samo obavještajnim agencijama i grupama prijetnji koje sponzorira država. BlackLotus, kako je nepoznati proizvođač nazvao zlonamjerni softver, je rootkit firmvera koji može zaobići Windows odbranu kako bi pokrenuo zlonamjerni kod na najnižem nivou sigurnosnih prstenova arhitekture x86.
Prema istraživačima sigurnosti koji su otkrili BlackLotus oglase na malver forumima, jedna korisnička licenca za rootkit košta do 5 dolara, a naknadni oporavak koda košta "samo" 200 dolara. S obzirom na mogućnosti koje navodi prodavac, čak i trošenje 5 hiljada dolara je vrlo unosno za sajber kriminalce i hakere širom svijeta.
Kako je otkrio istraživač sigurnosti Scott Schaferman, BlackLotus je napisan na asembleru i C jezicima, težak je 80 KB i nezavisan je od proizvođača. Rutkit sadrži zaštitu virtuelne mašine, otklanjanje grešaka i zamagljivanje koda kako bi se blokirali ili sprečili pokušaji analize, obezbeđuje „zaštitu agenta“ na nivou kernela (prsten 0) za čuvanje u UEFI firmveru i dolazi sa vodičem za instalaciju sa svim funkcijama i često postavljanim pitanjima.
Kao i svaki drugi odgovarajući rootkit, BlackLotus se učitava u ranim fazama procesa pokretanja prije faze pokretanja Windowsa. Zlonamjerni softver može zaobići mnoge Windows zaštite, uključujući Secure Boot, UAC, BitLocker, HVCI i Windows Defender, dok nudi mogućnost preuzimanja nepotpisanih drajvera. Ostale napredne karakteristike zlonamjernog softvera uključuju potpuno opremljen način prijenosa datoteka i "ranjivi potpisani bootloader" koji se ne može poništiti bez uticaja na stotine pokretača koji se još danas koriste.
Scott Schaeferman naglašava opasnost koju BlackLotus može predstavljati za modernu sigurnost zasnovanu na firmveru, čineći nivo prijetnje koji je ranije bio dostupan samo za napredne trajne prijetnje (APT) koje sponzorira država, kao što su ruski GRU ili kineski APT 41, dostupnim svima. Novi UEFI rootkit mogao bi biti pravi korak naprijed za sajber kriminalce u smislu jednostavnosti korištenja, skalabilnosti, dostupnosti, otpornosti, izbjegavanja i potencijala uništenja.
UEFI rootkiti su nekada smatrani veoma retkim i specijalizovanim pretnjama, ali mnoga otkrića u poslednjih nekoliko godina pokazala su sasvim drugačiji scenario. Što se tiče BlackLotusa, sigurnosna zajednica će morati analizirati uzorak zlonamjernog softvera u stvarnom svijetu kako bi utvrdila da li su reklamirane karakteristike stvarne, da li je spreman za širenje ili je to samo dobro osmišljena prevara.
Možete pomoći Ukrajini u borbi protiv ruskih osvajača. Najbolji način da to učinite je da donirate sredstva Oružanim snagama Ukrajine putem Savelife ili preko službene stranice NBU.
Također zanimljivo:
- MacPaw-ov SpyBuster sada štiti od ruskih sajber prijetnji u pretraživaču
- Google: Ruski hakeri kreirali su lažnu ukrajinsku aplikaciju