BlackLotus wordt op ondergrondse forums aangeboden als een almachtige firmware-rootkit die alle verwijderingspogingen kan overleven en de meest geavanceerde Windows-beveiligingen kan omzeilen. Natuurlijk, als echte voorbeelden van malware (malware) de realiteit van de propositie kunnen bewijzen.
Een krachtige nieuwe UEFI-rootkit die naar verluidt te koop is op ondergrondse forums, biedt geavanceerde aanvalsfuncties die voorheen alleen beschikbaar waren voor inlichtingendiensten en door de staat gesponsorde dreigingsgroepen. BlackLotus, zoals de onbekende leverancier de malware noemde, is een firmware-rootkit die de Windows-verdediging kan omzeilen om kwaadaardige code uit te voeren op het laagste niveau van de beveiligingsringen van de x86-architectuur.
Volgens beveiligingsonderzoekers die BlackLotus-advertenties op malwareforums ontdekten, kost één rootkit-gebruikerslicentie tot $ 5, en kost het daaropvolgende codeherstel "slechts" $ 200. Gezien de mogelijkheden die door de verkoper worden vermeld, is zelfs het uitgeven van $ 5k zeer lucratief voor cybercriminelen en hackers over de hele wereld.
Zoals beveiligingsonderzoeker Scott Schaferman ontdekte, is BlackLotus geschreven in de talen Assemblage en C, weegt het 80 KB en is het leverancieronafhankelijk. De rootkit biedt bescherming voor virtuele machines, foutopsporing en code-verduistering om analysepogingen te blokkeren of te dwarsbomen, biedt "agentbescherming" op kernelniveau (ring 0) om op te slaan in UEFI-firmware en wordt geleverd met een volledige installatiehandleiding en veelgestelde vragen.
Net als elke andere goede rootkit, wordt BlackLotus geladen in de vroege stadia van het opstartproces vóór de opstartfase van Windows. De malware kan veel Windows-beveiligingen omzeilen, waaronder Secure Boot, UAC, BitLocker, HVCI en Windows Defender, terwijl het de mogelijkheid biedt om niet-ondertekende stuurprogramma's te downloaden. Andere geavanceerde kenmerken van de malware zijn onder meer een volledige bestandsoverdrachtsmodus en een "kwetsbare ondertekende bootloader" die niet ongeldig kan worden gemaakt zonder de honderden bootloaders die nog steeds in gebruik zijn, te beïnvloeden.
Scott Schaeferman benadrukt het gevaar dat BlackLotus kan vormen voor moderne op firmware gebaseerde beveiliging, waardoor een dreigingsniveau dat voorheen alleen beschikbaar was voor door de staat gesponsorde Advanced Persistent Threats (APT's), zoals de Russische GRU of de Chinese APT 41 voor iedereen beschikbaar is. De nieuwe UEFI-rootkit kan een echte sprong voorwaarts zijn voor cybercriminelen op het gebied van gebruiksgemak, schaalbaarheid, beschikbaarheid, veerkracht, ontduiking en vernietigingspotentieel.
UEFI-rootkits werden ooit beschouwd als zeer zeldzame en gespecialiseerde bedreigingen, maar veel ontdekkingen van de afgelopen jaren hebben een heel ander scenario laten zien. Wat BlackLotus betreft, zal de beveiligingsgemeenschap een praktijkvoorbeeld van de malware moeten analyseren om te bepalen of de geadverteerde functies echt zijn, of het klaar is om zich te verspreiden, of dat het gewoon een goed gemaakte zwendel is.
U kunt Oekraïne helpen vechten tegen de Russische indringers. De beste manier om dit te doen is door geld te doneren aan de strijdkrachten van Oekraïne via Red het leven of via de officiële pagina NBU.
Ook interessant:
- MacPaw's SpyBuster beschermt nu tegen Russische cyberdreigingen in de browser
- Google: Russische hackers hebben een nep-Oekraïense applicatie gemaakt