A BlackLotust a földalatti fórumokon kínálják egy mindenható firmware rootkitként, amely képes túlélni az eltávolítási kísérleteket és megkerülni a legfejlettebb Windows védelmet. Természetesen, ha a rosszindulatú programok (malware) valódi mintái bizonyítják a javaslat valóságát.
A hírek szerint a földalatti fórumokon eladó új, erőteljes UEFI rootkit fejlett támadási funkciókat kínál, amelyek korábban csak a hírszerző ügynökségek és az államilag támogatott fenyegető csoportok számára voltak elérhetőek. A BlackLotus, ahogy az ismeretlen gyártó elnevezte a kártevőt, egy firmware rootkit, amely megkerüli a Windows védelmet, és az x86 architektúra biztonsági gyűrűinek legalacsonyabb szintjén képes rosszindulatú kódot futtatni.
Biztonsági kutatók szerint, akik a BlackLotus hirdetéseket fedezték fel kártevő-fórumokon, egy rootkit felhasználói licenc ára akár 5 dollár is lehet, az ezt követő kódhelyreállítás pedig "csak" 200 dollárba kerül. Tekintettel az eladó által felsorolt képességekre, még 5 ezer dollár elköltése is nagyon jövedelmező a kiberbűnözők és a hackerek számára szerte a világon.
Scott Schaferman biztonsági kutató megállapította, hogy a BlackLotus Assembly és C nyelven íródott, súlya 80 KB, és gyártótól független. A rootkit virtuálisgép-védelemmel, hibakereséssel és kódzavarásokkal blokkolja vagy meghiúsítja az elemzési kísérleteket, kernel szintű "ügynökvédelmet" (gyűrű 0) biztosít az UEFI firmware-be mentéséhez, valamint egy teljes körű telepítési útmutatót és GYIK-ot is tartalmaz.
Mint minden más megfelelő rootkit, a BlackLotus is a rendszerindítási folyamat korai szakaszában töltődik be, a Windows indítási fázisa előtt. A rosszindulatú program számos Windows védelmet megkerülhet, köztük a Secure Boot, az UAC, a BitLocker, a HVCI és a Windows Defender védelmet, miközben lehetőséget kínál aláíratlan illesztőprogramok letöltésére. A rosszindulatú program további fejlett funkciói közé tartozik a teljes értékű fájlátviteli mód és a "sérülékeny aláírt rendszerbetöltő", amelyet nem lehet érvényteleníteni anélkül, hogy ne érintené a ma is használatban lévő több száz rendszerbetöltőt.
Scott Schaeferman rávilágít arra, hogy a BlackLotus milyen veszélyt jelenthet a modern firmware-alapú biztonságra, mivel korábban csak az államilag szponzorált Advanced Persistent Threat (APT) – például az orosz GRU vagy a kínai APT 41 – számára elérhető fenyegetési szint bárki számára elérhetővé válik. Az új UEFI rootkit valódi előrelépést jelenthet a kiberbűnözők számára a könnyű használat, a méretezhetőség, a rendelkezésre állás, az ellenálló képesség, az adókijátszás és a pusztítás lehetősége tekintetében.
Az UEFI rootkiteket egykor nagyon ritka és speciális fenyegetésnek tekintették, de az elmúlt néhány év számos felfedezése egészen más forgatókönyvet mutatott be. Ami a BlackLotust illeti, a biztonsági közösségnek egy valós mintát kell elemeznie a rosszindulatú programból, hogy megállapítsa, a hirdetett funkciók valódiak-e, készen állnak-e a terjedésre, vagy csak egy jól kidolgozott átverésről van szó.
Segíthet Ukrajnának az orosz megszállók elleni küzdelemben. Ennek legjobb módja, ha adományokat adományoz az ukrán fegyveres erőknek ezen keresztül Savelife vagy a hivatalos oldalon keresztül NBU.
Szintén érdekes:
- A MacPaw SpyBusterje mostantól védelmet nyújt az orosz kiberfenyegetésekkel szemben a böngészőben
- Google: Orosz hackerek létrehoztak egy hamis ukrán alkalmazást