BlackLotus se nudi na podzemnim forumima kao svemoćni firmware rootkit koji može preživjeti sve pokušaje uklanjanja i zaobići najnaprednije Windows zaštite. Naravno, ako stvarni uzorci zlonamjernog softvera (malware) mogu dokazati stvarnost prijedloga.
Snažni novi UEFI rootkit koji se navodno prodaje na podzemnim forumima nudi napredne značajke napada koje su prije bile dostupne samo obavještajnim agencijama i prijetnjama koje sponzorira država. BlackLotus, kako je nepoznati dobavljač nazvao zlonamjerni softver, je firmware rootkit koji može zaobići Windows obranu za pokretanje zlonamjernog koda na najnižoj razini sigurnosnih prstenova x86 arhitekture.
Prema sigurnosnim istraživačima koji su otkrili oglase BlackLotusa na forumima o zlonamjernom softveru, jedna korisnička licenca za rootkit košta i do 5 dolara, a naknadni oporavak koda košta "samo" 200 dolara. S obzirom na mogućnosti koje je naveo prodavač, čak i trošenje 5 tisuća dolara vrlo je unosno za kibernetičke kriminalce i hakere diljem svijeta.
Kao što je otkrio istraživač sigurnosti Scott Schaferman, BlackLotus je napisan u jezicima Assembly i C, težak je 80 KB i neovisan je o dobavljaču. Rootkit ima zaštitu virtualnog stroja, otklanjanje pogrešaka i maskiranje koda za blokiranje ili osujećivanje pokušaja analize, pruža "zaštitu agenta" na razini kernela (prsten 0) za spremanje u UEFI firmware, i dolazi s potpunim vodičem za instalaciju i često postavljanim pitanjima.
Kao i svaki drugi odgovarajući rootkit, BlackLotus se učitava u ranim fazama procesa pokretanja prije faze pokretanja Windowsa. Zlonamjerni softver može zaobići mnoge Windows zaštite, uključujući Secure Boot, UAC, BitLocker, HVCI i Windows Defender, a istovremeno nudi mogućnost preuzimanja nepotpisanih upravljačkih programa. Ostale napredne značajke zlonamjernog softvera uključuju potpuno opremljen način prijenosa datoteka i "ranjivi potpisani bootloader" koji se ne može poništiti bez utjecaja na stotine bootloadera koji se i danas koriste.
Scott Schaeferman naglašava opasnost koju bi BlackLotus mogao predstavljati za modernu sigurnost temeljenu na firmware-u, čineći razinu prijetnje koja je prije bila dostupna samo državno sponzoriranim Advanced Persistent Threats (APT-ovima) kao što su ruski GRU ili kineski APT 41 dostupni svima. Novi UEFI rootkit mogao bi biti pravi korak naprijed za kibernetičke kriminalce u smislu jednostavnosti korištenja, skalabilnosti, dostupnosti, otpornosti, izbjegavanja i potencijala uništavanja.
UEFI rootkitovi nekoć su se smatrali vrlo rijetkim i specijaliziranim prijetnjama, ali mnoga otkrića u proteklih nekoliko godina pokazala su sasvim drugačiji scenarij. Što se tiče BlackLotusa, sigurnosna zajednica morat će analizirati uzorak zlonamjernog softvera iz stvarnog svijeta kako bi utvrdila jesu li reklamirane značajke stvarne, je li spreman za širenje ili je to samo dobro osmišljena prijevara.
Možete pomoći Ukrajini u borbi protiv ruskih osvajača. Najbolji način da to učinite je donirati sredstva Oružanim snagama Ukrajine putem Savelife ili putem službene stranice NBU.
Također zanimljivo:
- MacPaw's SpyBuster sada štiti od ruskih cyber prijetnji u pregledniku
- Google: Ruski hakeri napravili lažnu ukrajinsku aplikaciju