BlackLotus je na podtalnih forumih na voljo kot zmogljiv rootkit vdelane programske opreme, ki lahko preživi vse poskuse odstranitve in obide najnaprednejše zaščite Windows. Seveda, če lahko resnični vzorci zlonamerne programske opreme (malware) dokažejo resničnost predloga.
Zmogljiv nov rootkit UEFI, ki naj bi bil naprodaj na podzemnih forumih, ponuja napredne funkcije napada, ki so bile prej na voljo samo obveščevalnim agencijam in skupinam groženj, ki jih sponzorira država. BlackLotus, kot je neznani proizvajalec poimenoval zlonamerno programsko opremo, je rootkit vdelane programske opreme, ki lahko obide obrambo sistema Windows in zažene zlonamerno kodo na najnižji ravni varnostnih obročev arhitekture x86.
Po podatkih varnostnih raziskovalcev, ki so odkrili oglase BlackLotus na forumih o zlonamerni programski opremi, ena uporabniška licenca za rootkit stane do 5 dolarjev, poznejša obnovitev kode pa "le" 200 dolarjev. Glede na zmogljivosti, ki jih je navedel prodajalec, je celo poraba 5 tisoč dolarjev zelo donosna za kibernetske kriminalce in hekerje po vsem svetu.
Kot je ugotovil varnostni raziskovalec Scott Schaferman, je BlackLotus napisan v jeziku Assembly in C, tehta 80 KB in je neodvisen od prodajalca. Rootkit vključuje zaščito navideznega stroja, odpravljanje napak in zakrivanje kode za blokiranje ali onemogočanje poskusov analize, zagotavlja "zaščito posrednika" na ravni jedra (obroč 0) za shranjevanje v vdelani programski opremi UEFI in ima priročnik za namestitev s popolnimi funkcijami in pogosta vprašanja.
Kot vsak drug pravi rootkit se tudi BlackLotus naloži v zgodnjih fazah zagonskega procesa pred fazo zagona sistema Windows. Zlonamerna programska oprema lahko obide številne zaščite Windows, vključno z varnim zagonom, UAC, BitLocker, HVCI in Windows Defender, hkrati pa ponuja možnost prenosa nepodpisanih gonilnikov. Druge napredne funkcije zlonamerne programske opreme vključujejo poln način prenosa datotek in "ranljiv podpisan zagonski nalagalnik", ki ga ni mogoče razveljaviti, ne da bi vplival na stotine zagonskih nalagalnikov, ki so še danes v uporabi.
Scott Schaeferman poudarja nevarnost, ki bi jo BlackLotus lahko predstavljal za sodobno varnost, ki temelji na vdelani programski opremi, zaradi česar je raven grožnje, ki je bila prej na voljo samo državno sponzoriranim naprednim trajnim grožnjam (APT), kot sta ruski GRU ali kitajski APT 41, na voljo vsem. Novi rootkit UEFI bi lahko pomenil pravi korak naprej za kibernetske kriminalce v smislu enostavnosti uporabe, razširljivosti, razpoložljivosti, odpornosti, izogibanja in potenciala uničenja.
UEFI rootkiti so včasih veljali za zelo redke in posebne grožnje, vendar so številna odkritja v zadnjih nekaj letih pokazala zelo drugačen scenarij. Kar zadeva BlackLotus, bo morala varnostna skupnost analizirati vzorec zlonamerne programske opreme iz resničnega sveta, da bi ugotovila, ali so oglaševane funkcije resnične, ali je pripravljena za širjenje ali pa gre le za dobro izdelano prevaro.
Lahko pomagate Ukrajini v boju proti ruskim okupatorjem. Najboljši način za to je donacija sredstev oboroženim silam Ukrajine prek Savelife ali preko uradne strani NBU.
Zanimivo tudi:
- MacPaw's SpyBuster zdaj ščiti pred ruskimi kibernetskimi grožnjami v brskalniku
- Google: Ruski hekerji ustvarili lažno ukrajinsko aplikacijo