BlackLotus er osti forumlarida har qanday olib tashlash urinishlaridan omon qolish va eng ilg'or Windows himoyasini chetlab o'tishga qodir bo'lgan juda kuchli proshivka rootkiti sifatida taklif etiladi. Albatta, agar zararli dasturlarning haqiqiy namunalari (zararli dastur) taklifning haqiqatini isbotlay olsa.
Xabar qilinishicha, yer osti forumlarida sotiladigan kuchli yangi UEFI rootkiti ilgari faqat razvedka agentliklari va davlat tomonidan homiylik qilinadigan tahdid guruhlari uchun mavjud bo'lgan ilg'or hujum xususiyatlarini taqdim etadi. Noma'lum sotuvchi zararli dastur deb atagan BlackLotus - bu x86 arxitekturasi xavfsizlik uzuklarining eng past darajasida zararli kodni ishga tushirish uchun Windows himoyasini chetlab o'ta oladigan mikrodastur rootkiti.
Zararli dasturiy ta'minot forumlarida BlackLotus reklamalarini kashf etgan xavfsizlik tadqiqotchilarining fikriga ko'ra, bitta rootkit foydalanuvchi litsenziyasi 5 dollargacha turadi, keyinchalik kodni tiklash esa "atigi" 200 dollar turadi. Sotuvchi tomonidan sanab o'tilgan imkoniyatlarni hisobga olsak, hatto butun dunyo bo'ylab kiberjinoyatchilar va xakerlar uchun 5 ming dollar sarflash juda foydali.
Xavfsizlik bo'yicha tadqiqotchi Skott Schaferman aniqlaganidek, BlackLotus Assembly va C tillarida yozilgan, og'irligi 80 KB va sotuvchidan mustaqil. Rootkitda virtual mashina himoyasi, disk raskadrovka va tahlil urinishlarini bloklash yoki oldini olish uchun kodni chalkashtirish, UEFI mikrodasturida saqlash uchun yadro darajasidagi "agent himoyasi" (ring 0) bilan ta'minlaydi va to'liq xususiyatli o'rnatish qo'llanmasi va tez-tez so'raladigan savollar bilan birga keladi.
Har qanday boshqa tegishli rootkit singari, BlackLotus ham yuklash jarayonining dastlabki bosqichlarida Windows ishga tushirish bosqichidan oldin yuklanadi. Zararli dastur imzosiz drayverlarni yuklab olish imkoniyatini taklif qilish bilan birga Secure Boot, UAC, BitLocker, HVCI va Windows Defender kabi koʻplab Windows himoyalarini chetlab oʻtishi mumkin. Zararli dasturiy ta'minotning boshqa ilg'or xususiyatlari orasida to'liq xususiyatli fayl uzatish rejimi va "zaif imzolangan yuklash dasturi" mavjud bo'lib, ularni bugungi kunda ham foydalanilayotgan yuzlab yuklash moslamalariga ta'sir qilmasdan bekor qilib bo'lmaydi.
Skott Schaeferman BlackLotusning zamonaviy dasturiy ta'minotga asoslangan xavfsizlikka olib kelishi mumkin bo'lgan xavfni ta'kidlaydi, bu esa ilgari faqat davlat tomonidan homiylik qilingan Advanced Persistent Threats (APTs) uchun mavjud bo'lgan tahdid darajasini, masalan, Rossiya GRU yoki Xitoyning APT 41 kabi barcha uchun mavjud bo'lishini ta'kidlaydi. Yangi UEFI rootkiti kiberjinoyatchilar uchun foydalanish qulayligi, kengayishi, mavjudligi, chidamliligi, qochish va yo‘q qilish potentsiali nuqtai nazaridan haqiqiy sakrash bo‘lishi mumkin.
UEFI rootkitlari bir vaqtlar juda kam uchraydigan va maxsus tahdidlar hisoblangan, ammo so'nggi bir necha yil ichida ko'plab kashfiyotlar juda boshqacha stsenariyni ko'rsatdi. BlackLotus’ga kelsak, xavfsizlik hamjamiyati reklama qilingan funksiyalar haqiqiymi, tarqalishga tayyormi yoki bu shunchaki yaxshi ishlab chiqilgan firibgarlik ekanligini aniqlash uchun zararli dasturning haqiqiy namunasini tahlil qilishi kerak bo‘ladi.
Siz Ukrainaga rus bosqinchilariga qarshi kurashda yordam bera olasiz. Buning eng yaxshi yo'li - Ukraina Qurolli Kuchlariga pul mablag'larini berishdir Savelife yoki rasmiy sahifa orqali NBU.
Shuningdek, qiziqarli:
- MacPaw SpyBuster endi brauzerda rus kiber tahdidlaridan himoya qiladi
- Google: Rossiyalik xakerlar soxta Ukraina ilovasini yaratishdi