BlackLotus được cung cấp trên các diễn đàn ngầm dưới dạng một bộ rootkit phần sụn mạnh mẽ có khả năng tồn tại bất kỳ nỗ lực xóa nào và vượt qua các biện pháp bảo vệ tiên tiến nhất của Windows. Tất nhiên, nếu các mẫu phần mềm độc hại (malware) thực sự có thể chứng minh tính thực tế của mệnh đề.
Một rootkit UEFI mới mạnh mẽ được báo cáo rao bán trên các diễn đàn ngầm cung cấp các tính năng tấn công nâng cao trước đây chỉ dành cho các cơ quan tình báo và các nhóm mối đe dọa do nhà nước bảo trợ. BlackLotus, với tư cách là nhà cung cấp không xác định đã đặt tên cho phần mềm độc hại, là một bộ phần mềm gốc có thể vượt qua hệ thống phòng thủ của Windows để chạy mã độc hại ở mức thấp nhất trong các vòng bảo mật của kiến trúc x86.
Theo các nhà nghiên cứu bảo mật, những người đã phát hiện ra quảng cáo của BlackLotus trên các diễn đàn về phần mềm độc hại, một giấy phép người dùng rootkit có giá lên đến 5 đô la, và chi phí khôi phục mã sau đó "chỉ" 200 đô la. Với các khả năng được liệt kê bởi người bán, thậm chí bỏ ra 5 nghìn đô la là rất hấp dẫn đối với tội phạm mạng và tin tặc trên khắp thế giới.
Như nhà nghiên cứu bảo mật Scott Schaferman đã phát hiện ra, BlackLotus được viết bằng ngôn ngữ Assembly và C, nặng 80 KB và độc lập với nhà cung cấp. Rootkit có tính năng bảo vệ máy ảo, gỡ lỗi và xáo trộn mã để chặn hoặc cản trở các nỗ lực phân tích, cung cấp "bảo vệ tác nhân" cấp hạt nhân (vòng 0) để lưu trong phần sụn UEFI và đi kèm với hướng dẫn cài đặt đầy đủ tính năng và Câu hỏi thường gặp.
Giống như bất kỳ bộ rootkit thích hợp nào khác, BlackLotus được tải trong giai đoạn đầu của quá trình khởi động trước giai đoạn khởi động Windows. Phần mềm độc hại có thể vượt qua nhiều biện pháp bảo vệ của Windows, bao gồm Khởi động an toàn, UAC, BitLocker, HVCI và Windows Defender, đồng thời cung cấp khả năng tải xuống các trình điều khiển chưa được ký. Các tính năng nâng cao khác của phần mềm độc hại bao gồm chế độ truyền tệp đầy đủ tính năng và "bộ nạp khởi động đã ký dễ bị tấn công" không thể bị vô hiệu hóa mà không ảnh hưởng đến hàng trăm bộ nạp khởi động vẫn được sử dụng ngày nay.
Scott Schaeferman nhấn mạnh mối nguy hiểm mà BlackLotus có thể gây ra đối với bảo mật dựa trên phần sụn hiện đại, khiến mức độ đe dọa trước đây chỉ dành cho các Mối đe dọa liên tục nâng cao (APT) do nhà nước bảo trợ như GRU của Nga hoặc APT 41 của Trung Quốc có sẵn cho bất kỳ ai. Bộ rootkit UEFI mới có thể là một bước tiến thực sự cho tội phạm mạng về tính dễ sử dụng, khả năng mở rộng, tính khả dụng, khả năng phục hồi, khả năng trốn tránh và tiêu diệt.
Các rootkit UEFI từng được coi là mối đe dọa rất hiếm và chuyên biệt, nhưng nhiều khám phá trong vài năm qua đã cho thấy một kịch bản rất khác. Đối với BlackLotus, cộng đồng bảo mật sẽ cần phải phân tích một mẫu phần mềm độc hại trong thế giới thực để xác định xem các tính năng được quảng cáo là có thật, liệu nó đã sẵn sàng để phát tán hay đó chỉ là một trò lừa đảo được dàn dựng công phu.
Bạn có thể giúp Ukraine chiến đấu chống lại những kẻ xâm lược Nga. Cách tốt nhất để làm điều này là quyên góp quỹ cho Các lực lượng vũ trang của Ukraine thông qua Cuộc sống tiết kiệm hoặc thông qua trang chính thức NBU.
Cũng thú vị:
- MacPaw's SpyBuster hiện bảo vệ khỏi các mối đe dọa mạng của Nga trong trình duyệt
- Google: Tin tặc Nga đã tạo một ứng dụng Ukraina giả mạo