BlackLotus tiek piedāvāts pazemes forumos kā visspēcīgs programmaparatūras saknes komplekts, kas spēj izturēt visus noņemšanas mēģinājumus un apiet vismodernākās Windows aizsardzības iespējas. Protams, ja reāli ļaunprātīgas programmatūras (ļaunprātīgas programmatūras) paraugi var pierādīt piedāvājuma realitāti.
Tiek ziņots, ka jaudīgs jauns UEFI sakņu komplekts, kas tiek pārdots pazemes forumos, piedāvā uzlabotas uzbrukuma funkcijas, kas iepriekš bija pieejamas tikai izlūkošanas aģentūrām un valsts sponsorētām draudu grupām. BlackLotus, kā nezināmais pārdevējs nosauca ļaunprogrammatūru, ir programmaparatūras saknes komplekts, kas var apiet Windows aizsardzību, lai palaistu ļaunprātīgu kodu zemākajā x86 arhitektūras drošības gredzenu līmenī.
Saskaņā ar drošības pētnieku datiem, kuri atklāja BlackLotus reklāmas ļaunprogrammatūras forumos, viena rootkit lietotāja licence maksā līdz pat 5 USD, bet turpmākā koda atkopšana maksā "tikai" 200 USD. Ņemot vērā pārdevēja norādītās iespējas, pat USD 5k iztērēšana ir ļoti ienesīga kibernoziedzniekiem un hakeriem visā pasaulē.
Kā noskaidroja drošības pētnieks Skots Šafermens, BlackLotus ir rakstīts Assembly un C valodā, sver 80 KB un ir neatkarīgs no pārdevēja. Rootkit piedāvā virtuālās mašīnas aizsardzību, atkļūdošanu un koda aptumšošanu, lai bloķētu vai kavētu analīzes mēģinājumus, nodrošināta kodola līmeņa "aģenta aizsardzība" (0. gredzens), lai saglabātu UEFI programmaparatūru, un komplektā ir iekļauta pilna funkcionalitāte instalēšanas rokasgrāmata un FAQ.
Tāpat kā jebkura cita atbilstoša rootkit, BlackLotus tiek ielādēta sāknēšanas procesa sākumposmā pirms Windows startēšanas fāzes. Ļaunprātīga programmatūra var apiet daudzas Windows aizsardzības iespējas, tostarp Secure Boot, UAC, BitLocker, HVCI un Windows Defender, vienlaikus piedāvājot iespēju lejupielādēt neparakstītus draiverus. Citas ļaunprogrammatūras uzlabotās funkcijas ietver pilnvērtīgu failu pārsūtīšanas režīmu un "neaizsargātu parakstīto sāknēšanas ielādētāju", kuru nevar anulēt, neietekmējot simtiem sāknēšanas ielādētāju, kas joprojām tiek izmantoti šodien.
Skots Šēfermens uzsver draudus, ko BlackLotus var radīt mūsdienu programmaparatūras drošībai, padarot tādu apdraudējumu līmeni, kas iepriekš bija pieejams tikai valsts sponsorētiem pastāvīgajiem draudiem (Advanced Persistent Threat — APT), piemēram, Krievijas GRU vai Ķīnas APT 41, kas pieejams ikvienam. Jaunais UEFI saknes komplekts varētu būt īsts solis uz priekšu kibernoziedzniekiem lietošanas vienkāršības, mērogojamības, pieejamības, noturības, izvairīšanās un iznīcināšanas potenciāla ziņā.
UEFI sakņu komplekti savulaik tika uzskatīti par ļoti retiem un specializētiem draudiem, taču daudzi atklājumi pēdējos gados ir parādījuši ļoti atšķirīgu scenāriju. Kas attiecas uz BlackLotus, drošības kopienai būs jāanalizē reāls ļaunprogrammatūras paraugs, lai noteiktu, vai reklamētās funkcijas ir īstas, vai tās ir gatavas izplatīšanai, vai arī tā ir tikai labi izstrādāta krāpniecība.
Jūs varat palīdzēt Ukrainai cīnīties pret krievu iebrucējiem. Labākais veids, kā to izdarīt, ir ziedot līdzekļus Ukrainas bruņotajiem spēkiem Savelife vai izmantojot oficiālo lapu NBU.
Interesanti arī:
- MacPaw SpyBuster tagad pārlūkprogrammā aizsargā pret Krievijas kiberdraudiem
- Google: Krievijas hakeri izveidoja viltotu ukraiņu lietojumprogrammu