„BlackLotus“ požeminiuose forumuose siūlomas kaip visagalis programinės įrangos rootkit, galintis atlaikyti bet kokius pašalinimo bandymus ir apeiti pažangiausias „Windows“ apsaugos priemones. Žinoma, jei tikri kenkėjiškų programų (kenkėjiškų programų) pavyzdžiai gali įrodyti pasiūlymo realumą.
Pranešama, kad galingas naujas UEFI rootkit, parduodamas pogrindiniuose forumuose, siūlo pažangias atakų funkcijas, kurias anksčiau galėjo gauti tik žvalgybos agentūros ir valstybės remiamos grėsmių grupės. „BlackLotus“, kaip nežinomas pardavėjas pavadino kenkėjišką programinę įrangą, yra programinės įrangos šakninis rinkinys, galintis apeiti „Windows“ apsaugą ir paleisti kenkėjišką kodą žemiausiame x86 architektūros saugos žiedų lygyje.
Pasak saugumo tyrinėtojų, kurie kenkėjiškų programų forumuose atrado BlackLotus reklamas, viena rootkit vartotojo licencija kainuoja iki 5 USD, o vėlesnis kodo atkūrimas kainuoja „tik“ 200 USD. Atsižvelgiant į pardavėjo nurodytas galimybes, net išleisti 5 tūkst. USD yra labai pelninga kibernetiniams nusikaltėliams ir įsilaužėliams visame pasaulyje.
Kaip išsiaiškino saugumo tyrinėtojas Scottas Schafermanas, „BlackLotus“ yra parašyta Assembly ir C kalbomis, sveria 80 KB ir yra nepriklausoma nuo pardavėjo. „Rootkit“ turi virtualiosios mašinos apsaugą, derinimą ir kodo užmaskavimą, kad blokuotų arba sutrukdytų analizės bandymus, suteikia branduolio lygio „agento apsaugą“ (0 žiedas), kad būtų išsaugota UEFI programinė įranga, ir pateikiamas visas diegimo vadovas ir DUK.
Kaip ir bet kuris kitas tinkamas rootkit, „BlackLotus“ įkeliamas ankstyvoje įkrovos proceso stadijoje prieš „Windows“ paleidimo fazę. Kenkėjiška programinė įranga gali apeiti daugelį „Windows“ apsaugos priemonių, įskaitant saugų įkrovą, UAC, „BitLocker“, HVCI ir „Windows Defender“, tuo pačiu suteikiant galimybę atsisiųsti nepasirašytas tvarkykles. Kitos pažangios kenkėjiškos programos funkcijos apima visas funkcijas turintį failų persiuntimo režimą ir „pažeidžiamą pasirašytą įkrovos įkroviklį“, kurio negalima pripažinti negaliojančiu, nepažeidžiant šimtų šiandien naudojamų įkrovos tvarkyklių.
Scottas Schaefermanas pabrėžia pavojų, kurį „BlackLotus“ gali kelti šiuolaikinei programine įranga pagrįstam saugumui, todėl grėsmės lygis anksčiau buvo prieinamas tik valstybės remiamoms pažangiosioms nuolatinėms grėsmėms (APT), pvz., Rusijos GRU arba Kinijos APT 41. Naujasis UEFI rootkit gali būti tikras šuolis į priekį kibernetiniams nusikaltėliams dėl naudojimo paprastumo, mastelio, prieinamumo, atsparumo, vengimo ir naikinimo galimybių.
UEFI šakniniai rinkiniai kažkada buvo laikomi labai retomis ir specializuotomis grėsmėmis, tačiau daugelis pastarųjų metų atradimų parodė labai skirtingą scenarijų. Kalbant apie „BlackLotus“, saugos bendruomenė turės išanalizuoti realų kenkėjiškos programos pavyzdį, kad nustatytų, ar reklamuojamos funkcijos yra tikros, ar jos paruoštos plisti, ar tai tik gerai sukurta sukčiai.
Jūs galite padėti Ukrainai kovoti su Rusijos įsibrovėliais. Geriausias būdas tai padaryti – aukoti lėšas Ukrainos ginkluotosioms pajėgoms per Išgelbėk gyvybę arba per oficialų puslapį NBU.
Taip pat įdomu:
- „MacPaw“ „SpyBuster“ dabar apsaugo nuo Rusijos kibernetinių grėsmių naršyklėje
- „Google“: Rusijos įsilaužėliai sukūrė netikrą ukrainietišką programą