Το BlackLotus προσφέρεται σε υπόγεια φόρουμ ως ένα πανίσχυρο rootkit υλικολογισμικού ικανό να επιβιώσει από κάθε προσπάθεια αφαίρεσης και να παρακάμψει τις πιο προηγμένες προστασίες των Windows. Φυσικά, εάν πραγματικά δείγματα κακόβουλου λογισμικού (malware) μπορούν να αποδείξουν την πραγματικότητα της πρότασης.
Ένα ισχυρό νέο rootkit UEFI που φέρεται να πωλείται σε υπόγεια φόρουμ προσφέρει προηγμένες λειτουργίες επίθεσης που προηγουμένως ήταν διαθέσιμες μόνο σε υπηρεσίες πληροφοριών και ομάδες απειλών που χρηματοδοτούνται από το κράτος. Το BlackLotus, όπως ονόμασε το κακόβουλο λογισμικό ο άγνωστος προμηθευτής, είναι ένα rootkit υλικολογισμικού που μπορεί να παρακάμψει τις άμυνες των Windows για να εκτελέσει κακόβουλο κώδικα στο χαμηλότερο επίπεδο των δακτυλίων ασφαλείας της αρχιτεκτονικής x86.
Σύμφωνα με ερευνητές ασφαλείας που ανακάλυψαν διαφημίσεις BlackLotus σε φόρουμ κακόβουλου λογισμικού, μια άδεια χρήσης rootkit κοστίζει έως και 5 $ και η επακόλουθη ανάκτηση κώδικα κοστίζει "μόνο" 200 $. Δεδομένων των δυνατοτήτων που αναφέρονται από τον πωλητή, ακόμη και η δαπάνη 5 $ είναι πολύ προσοδοφόρα για τους εγκληματίες του κυβερνοχώρου και τους χάκερ σε όλο τον κόσμο.
Όπως ανακάλυψε ο ερευνητής ασφαλείας Scott Schaferman, το BlackLotus είναι γραμμένο σε γλώσσες Assembly και C, ζυγίζει 80 KB και είναι ανεξάρτητο από τον προμηθευτή. Το rootkit διαθέτει προστασία εικονικής μηχανής, εντοπισμό σφαλμάτων και συσκότιση κώδικα για να μπλοκάρει ή να αποτρέψει προσπάθειες ανάλυσης, παρέχει "προστασία παράγοντα" σε επίπεδο πυρήνα (δακτύλιος 0) για αποθήκευση στο υλικολογισμικό UEFI και συνοδεύεται από έναν πλήρη οδηγό εγκατάστασης και FAQ.
Όπως κάθε άλλο κατάλληλο rootkit, το BlackLotus φορτώνεται στα πρώτα στάδια της διαδικασίας εκκίνησης πριν από τη φάση εκκίνησης των Windows. Το κακόβουλο λογισμικό μπορεί να παρακάμψει πολλές προστασίες των Windows, συμπεριλαμβανομένων των Secure Boot, UAC, BitLocker, HVCI και Windows Defender, ενώ προσφέρει τη δυνατότητα λήψης μη υπογεγραμμένων προγραμμάτων οδήγησης. Άλλα προηγμένα χαρακτηριστικά του κακόβουλου λογισμικού περιλαμβάνουν μια λειτουργία μεταφοράς αρχείων με πλήρη χαρακτηριστικά και έναν "ευάλωτο υπογεγραμμένο bootloader" που δεν μπορεί να ακυρωθεί χωρίς να επηρεαστούν εκατοντάδες bootloaders που χρησιμοποιούνται ακόμα σήμερα.
Ο Scott Schaeferman υπογραμμίζει τον κίνδυνο που θα μπορούσε να θέσει το BlackLotus για τη σύγχρονη ασφάλεια που βασίζεται σε υλικολογισμικό, καθιστώντας ένα επίπεδο απειλής που προηγουμένως ήταν διαθέσιμο μόνο σε κρατικά χορηγούμενες Advanced Persistent Threats (APT) όπως το GRU της Ρωσίας ή το APT 41 της Κίνας διαθέσιμο σε οποιονδήποτε. Το νέο rootkit UEFI θα μπορούσε να είναι ένα πραγματικό άλμα προς τα εμπρός για τους εγκληματίες του κυβερνοχώρου όσον αφορά την ευκολία χρήσης, την επεκτασιμότητα, τη διαθεσιμότητα, την ανθεκτικότητα, την φοροδιαφυγή και τις δυνατότητες καταστροφής.
Τα rootkits του UEFI θεωρούνταν κάποτε πολύ σπάνιες και εξειδικευμένες απειλές, αλλά πολλές ανακαλύψεις τα τελευταία χρόνια έδειξαν ένα πολύ διαφορετικό σενάριο. Όσο για το BlackLotus, η κοινότητα ασφαλείας θα χρειαστεί να αναλύσει ένα πραγματικό δείγμα του κακόβουλου λογισμικού για να προσδιορίσει εάν τα διαφημιζόμενα χαρακτηριστικά είναι πραγματικά, αν είναι έτοιμο να διαδοθούν ή αν πρόκειται απλώς για μια καλοφτιαγμένη απάτη.
Μπορείτε να βοηθήσετε την Ουκρανία να πολεμήσει ενάντια στους Ρώσους εισβολείς. Ο καλύτερος τρόπος για να γίνει αυτό είναι να δωρίσετε χρήματα στις Ένοπλες Δυνάμεις της Ουκρανίας μέσω Savelife ή μέσω της επίσημης σελίδας NBU.
Επίσης ενδιαφέρον:
- Το SpyBuster του MacPaw προστατεύει τώρα από τις ρωσικές απειλές στον κυβερνοχώρο στο πρόγραμμα περιήγησης
- Google: Ρώσοι χάκερ δημιούργησαν μια πλαστή ουκρανική εφαρμογή