BlackLotus შემოთავაზებულია მიწისქვეშა ფორუმებზე, როგორც ყოვლისმომცველი პროგრამული უზრუნველყოფის rootkit, რომელსაც შეუძლია გადარჩეს ნებისმიერი წაშლის მცდელობა და გვერდის ავლით Windows-ის ყველაზე მოწინავე დაცვა. რა თქმა უნდა, თუ მავნე პროგრამის (მავნე პროგრამა) რეალურ ნიმუშებს შეუძლიათ დაადასტურონ წინადადების რეალობა.
მძლავრი ახალი UEFI rootkit, როგორც ცნობილია, იყიდება მიწისქვეშა ფორუმებზე, გთავაზობთ თავდასხმის გაფართოებულ ფუნქციებს, რომლებიც ადრე მხოლოდ სადაზვერვო სააგენტოებისა და სახელმწიფოს მიერ დაფინანსებული საფრთხის ჯგუფებისთვის იყო ხელმისაწვდომი. BlackLotus, როგორც უცნობმა გამყიდველმა დაასახელა მავნე პროგრამა, არის firmware rootkit, რომელსაც შეუძლია გვერდის ავლით Windows-ის დაცვა და აწარმოოს მავნე კოდი x86 არქიტექტურის უსაფრთხოების რგოლების ყველაზე დაბალ დონეზე.
უსაფრთხოების მკვლევარების აზრით, რომლებმაც აღმოაჩინეს BlackLotus-ის რეკლამები მავნე პროგრამების ფორუმებზე, ერთი rootkit მომხმარებლის ლიცენზია 5 დოლარამდე ღირს, ხოლო შემდგომი კოდის აღდგენა "მხოლოდ" 200 დოლარი ღირს. გამყიდველის მიერ ჩამოთვლილი შესაძლებლობების გათვალისწინებით, 5 ათასი დოლარის დახარჯვაც კი ძალიან მომგებიანია კიბერკრიმინალებისთვის და ჰაკერებისთვის მთელს მსოფლიოში.
როგორც უსაფრთხოების მკვლევარმა სკოტ შაფერმანმა გაარკვია, BlackLotus დაწერილია ასამბლეისა და C ენებზე, იწონის 80 კბ-ს და დამოუკიდებელია გამყიდველისგან. Rootkit-ს აქვს ვირტუალური აპარატის დაცვა, გამართვა და კოდის დაბნელება ანალიზის მცდელობების დასაბლოკად ან ჩაშლის მიზნით, უზრუნველყოფს ბირთვის დონის „აგენტის დაცვას“ (რგოლი 0) UEFI-ს firmware-ში შესანახად და მოყვება სრული ინსტალაციის სახელმძღვანელო და ხშირად დასმული კითხვები.
ნებისმიერი სხვა სათანადო rootkit-ის მსგავსად, BlackLotus იტვირთება ჩატვირთვის პროცესის ადრეულ ეტაპებზე Windows-ის გაშვების ფაზამდე. მავნე პროგრამას შეუძლია Windows-ის მრავალი დაცვის გვერდის ავლით, მათ შორის Secure Boot, UAC, BitLocker, HVCI და Windows Defender, ხოლო გთავაზობთ ხელმოუწერელი დრაივერების ჩამოტვირთვის შესაძლებლობას. მავნე პროგრამის სხვა მოწინავე ფუნქციებს მიეკუთვნება ფაილის გადაცემის სრულფასოვანი რეჟიმი და „დაუცველი ხელმოწერილი ჩამტვირთავი“, რომელიც არ შეიძლება გაუქმდეს ასობით ჩამტვირთველზე ზემოქმედების გარეშე, რომლებიც დღესაც გამოიყენება.
სკოტ შეფერმანი ხაზს უსვამს იმ საფრთხეს, რომელიც BlackLotus-მა შეიძლება შეუქმნას თანამედროვე firmware-ზე დაფუძნებულ უსაფრთხოებას, რაც საფრთხის დონეს ადრე ხელმისაწვდომი გახდის მხოლოდ სახელმწიფოს მიერ დაფინანსებული Advanced Persistent Threats (APTs), როგორიცაა რუსეთის GRU ან ჩინეთის APT 41 ხელმისაწვდომი ნებისმიერისთვის. ახალი UEFI rootkit შეიძლება იყოს რეალური ნახტომი კიბერკრიმინალებისთვის გამოყენების სიმარტივის, მასშტაბურობის, ხელმისაწვდომობის, გამძლეობის, თავის არიდებისა და განადგურების პოტენციალის თვალსაზრისით.
UEFI rootkits ოდესღაც ძალიან იშვიათ და სპეციალიზებულ საფრთხეებად ითვლებოდა, მაგრამ ბოლო რამდენიმე წლის განმავლობაში ბევრმა აღმოჩენამ აჩვენა სრულიად განსხვავებული სცენარი. რაც შეეხება BlackLotus-ს, უსაფრთხოების საზოგადოებას დასჭირდება მავნე პროგრამის რეალური ნიმუშის ანალიზი, რათა დადგინდეს, არის თუ არა რეკლამირებული ფუნქციები რეალური, მზად არის თუ არა ის გასავრცელებლად, თუ ეს უბრალოდ კარგად შემუშავებული თაღლითობაა.
თქვენ შეგიძლიათ დაეხმაროთ უკრაინას რუსი დამპყრობლების წინააღმდეგ ბრძოლაში. ამის საუკეთესო გზაა უკრაინის შეიარაღებული ძალებისთვის თანხების შემოწირულობა Savelife ან ოფიციალური გვერდის საშუალებით NBU.
ასევე საინტერესოა:
- MacPaw's SpyBuster ახლა იცავს ბრაუზერში რუსული კიბერ საფრთხეებისგან
- Google: რუსმა ჰაკერებმა შექმნეს ყალბი უკრაინული აპლიკაცია