BlackLotus มีให้ในฟอรัมใต้ดินในฐานะรูทคิตของเฟิร์มแวร์ที่ทรงพลังซึ่งสามารถเอาชีวิตรอดจากการพยายามลบและข้ามการป้องกัน Windows ขั้นสูงสุดได้ แน่นอนว่าถ้าตัวอย่างมัลแวร์ (มัลแวร์) จริงสามารถพิสูจน์ความเป็นจริงของข้อเสนอได้
มีรายงานว่ารูทคิต UEFI อันทรงพลังใหม่ที่วางขายในฟอรัมใต้ดิน นำเสนอฟีเจอร์การโจมตีขั้นสูงที่ก่อนหน้านี้มีให้เฉพาะหน่วยงานข่าวกรองและกลุ่มภัยคุกคามที่ได้รับการสนับสนุนจากรัฐเท่านั้น BlackLotus ในฐานะผู้ขายที่ไม่รู้จักชื่อมัลแวร์ เป็นรูทคิตของเฟิร์มแวร์ที่สามารถเลี่ยงการป้องกันของ Windows เพื่อเรียกใช้โค้ดที่เป็นอันตรายที่ระดับต่ำสุดของวงแหวนการรักษาความปลอดภัยของสถาปัตยกรรม x86
ตามที่นักวิจัยด้านความปลอดภัยที่ค้นพบโฆษณา BlackLotus ในฟอรัมมัลแวร์ ใบอนุญาตผู้ใช้ rootkit หนึ่งสิทธิ์มีค่าใช้จ่ายสูงถึง $5 และการกู้คืนรหัสที่ตามมานั้นมีค่าใช้จ่าย "เพียง" $200 ด้วยความสามารถที่ระบุไว้โดยผู้ขาย แม้แต่การใช้จ่าย 5 ดอลลาร์ก็ให้ผลกำไรมากสำหรับอาชญากรไซเบอร์และแฮกเกอร์ทั่วโลก
ตามที่นักวิจัยด้านความปลอดภัย Scott Schaferman ค้นพบ BlackLotus เขียนด้วยภาษา Assembly และ C ซึ่งมีน้ำหนัก 80 KB และเป็นอิสระจากผู้ขาย รูทคิทมีฟีเจอร์การป้องกันเครื่องเสมือน การดีบัก และการสร้างความสับสนของโค้ดเพื่อบล็อกหรือขัดขวางความพยายามในการวิเคราะห์ มี "การป้องกันเอเจนต์" ระดับเคอร์เนล (วงแหวน 0) เพื่อบันทึกในเฟิร์มแวร์ UEFI และมาพร้อมกับคู่มือการติดตั้งแบบสมบูรณ์และคำถามที่พบบ่อย
เช่นเดียวกับรูทคิตอื่นๆ ที่เหมาะสม BlackLotus จะถูกโหลดในช่วงเริ่มต้นของกระบวนการบู๊ตก่อนเฟสเริ่มต้นของ Windows มัลแวร์สามารถข้ามการป้องกันต่างๆ ของ Windows รวมถึง Secure Boot, UAC, BitLocker, HVCI และ Windows Defender ในขณะเดียวกันก็ให้ความสามารถในการดาวน์โหลดไดรเวอร์ที่ไม่ได้ลงนาม คุณสมบัติขั้นสูงอื่น ๆ ของมัลแวร์รวมถึงโหมดการถ่ายโอนไฟล์ที่มีคุณสมบัติครบถ้วนและ "โปรแกรมโหลดบูตที่ลงชื่อในช่องโหว่" ที่ไม่สามารถทำให้ใช้งานไม่ได้โดยไม่ส่งผลกระทบต่อโปรแกรมโหลดบูตหลายร้อยรายการที่ยังคงใช้งานอยู่ในปัจจุบัน
Scott Schaeferman เน้นย้ำถึงอันตรายที่ BlackLotus อาจก่อให้เกิดความปลอดภัยบนเฟิร์มแวร์ที่ทันสมัย ทำให้ระดับของภัยคุกคามก่อนหน้านี้มีให้เฉพาะกับภัยคุกคามขั้นสูง (APT) ที่ได้รับการสนับสนุนจากรัฐเท่านั้น เช่น GRU ของรัสเซียหรือ APT 41 ของจีนพร้อมให้ทุกคน รูทคิท UEFI ใหม่อาจเป็นการก้าวกระโดดอย่างแท้จริงสำหรับอาชญากรไซเบอร์ในแง่ของความง่ายในการใช้งาน ความสามารถในการปรับขนาด ความพร้อมใช้งาน ความยืดหยุ่น การหลีกเลี่ยง และศักยภาพในการทำลายล้าง
รูทคิท UEFI ครั้งหนึ่งเคยถูกมองว่าเป็นภัยคุกคามที่หายากและเฉพาะเจาะจง แต่การค้นพบมากมายในช่วงไม่กี่ปีที่ผ่านมาได้แสดงให้เห็นสถานการณ์ที่แตกต่างกันมาก สำหรับ BlackLotus ชุมชนความปลอดภัยจะต้องวิเคราะห์ตัวอย่างมัลแวร์ในโลกแห่งความเป็นจริง เพื่อดูว่าฟีเจอร์ที่โฆษณานั้นเป็นของจริงหรือไม่ พร้อมจะแพร่กระจายหรือไม่ หรือเป็นเพียงการหลอกลวงที่ออกแบบมาอย่างดี
คุณสามารถช่วยยูเครนต่อสู้กับผู้รุกรานรัสเซีย วิธีที่ดีที่สุดคือบริจาคเงินให้กับกองทัพยูเครนผ่าน เซฟไลฟ์ หรือทางเพจอย่างเป็นทางการ NBU.
ที่น่าสนใจเช่นกัน:
- SpyBuster ของ MacPaw สามารถป้องกันภัยคุกคามทางไซเบอร์ของรัสเซียในเบราว์เซอร์ได้แล้ว
- Google: แฮ็กเกอร์ชาวรัสเซียสร้างแอปพลิเคชั่นปลอมยูเครน