BlackLotus пропонується на підпільних форумах як всемогутній руткіт прошивки, здатний пережити будь-які спроби видалення і обійти найсучасніші засоби захисту Windows. Звісно, якщо реальні зразки шкідливого програмного забезпечення (ПЗ) зможуть довести реальність пропозиції.
Як повідомляється, новий потужний руткіт UEFI виставлений на продаж на підпільних форумах, пропонує розширені функції атаки, які раніше були доступні тільки спецслужбам і підтримуваним державою групам загрози. BlackLotus, як назвав шкідливе програмне забезпечення невідомий продавець, – це руткіт для прошивки, який може обходити засоби захисту Windows для запуску шкідливого коду на найнижчому рівні захисних кілець архітектури x86.
За оцінками дослідників безпеки, які виявили рекламу BlackLotus на форумах, присвячених шкідливому ПЗ, одна ліцензія користувача руткіту коштує до $5 тис., а подальше відновлення коду – «всього» $200. Враховуючи можливості, перелічені продавцем, навіть витрата $5 тис. є дуже вигідною для кіберзлочинців та хакерів по всьому світу.
Як з’ясував дослідник безпеки Скотт Шеферман, BlackLotus написаний на мовах Assembly та С, важить 80 Кб і не залежить від виробника. Руткіт має функції захисту від віртуальних машин, налагодження та заплутування коду для блокування або перешкоджання спробам аналізу, забезпечує «захист агента» на рівні ядра (кільце 0) для збереження в прошивці UEFI, а також поставляється з повнофункціональним керівництвом по встановленню та поширеними запитаннями.
Як і будь-який інший правильний руткіт, BlackLotus завантажується на перших етапах процесу завантаження перед фазою запуску Windows. Шкідливе програмне забезпечення може обійти багато засобів захисту Windows, включаючи Secure Boot, UAC, BitLocker, HVCI і Windows Defender, пропонуючи при цьому можливість завантаження непідписаних драйверів. Інші розширені функції шкідливого ПЗ включають повнофункціональний режим передачі файлів і «вразливий підписаний завантажувач», який неможливо зробити недійсним, не впливаючи на сотні завантажувачів, які все ще використовуються сьогодні.
Скотт Шеферман підкреслює небезпеку, яку BlackLotus може становити для сучасної безпеки на основі прошивки, утворюючи рівень загрози, раніше доступний тільки для просунутих постійних загроз (APT), що фінансуються державою, таких як російське ГРУ або китайський APT 41, доступним для всіх бажаючих. Новий руткіт UEFI може стати справжнім стрибком вперед для кіберзлочинності з точки зору простоти використання, масштабованості, доступності, стійкості, ухиляння і потенціалу знищення.
Колись руткіти UEFI вважалися дуже рідкісними і спеціалізованими загрозами, але багато відкриттів за останні кілька років показали зовсім інший сценарій. Що стосується BlackLotus, то спільноті безпеки необхідно буде проаналізувати реальний зразок шкідливого програмного забезпечення, щоб визначити, чи є рекламовані функції реальними, чи готовий він до розповсюдження, або це просто добре продумана афера.
Ви можете допомогти Україні боротися з російськими окупантами. Найкращий спосіб зробити це – пожертвувати кошти Збройним Силам України через Savelife або через офіційну сторінку НБУ.
Також цікаво:
- SpyBuster від MacPaw відтепер захищає від російських кіберзагроз у браузері
- Google: російські хакери створили фейковий український застосунок