Κακόβουλο λογισμικό BlackLotus

Μια απειλή κακόβουλου λογισμικού που οι ερευνητές της κυβερνοασφάλειας περιγράφουν ως «σχεδόν μη ανιχνεύσιμη» επιβεβαιώθηκε ότι προσφέρεται προς πώληση σε φόρουμ χάκερ. Παρακολούθηση ως BlackLotus, το κακόβουλο λογισμικό μπορεί να μολύνει τα πιο θεμελιώδη επίπεδα ενός υπολογιστή και να καταστεί εξαιρετικά δύσκολο να αφαιρεθεί. Στην πραγματικότητα, οι δυνατότητές του το φέρνουν στο ίδιο επίπεδο με τα απειλητικά εργαλεία που παρατηρούνται ως μέρος του οπλοστασίου των κρατικών υποστηριζόμενων ομάδων hacking και των APT (Advanced Persistent Threats). Προφανώς, οι ενδιαφερόμενοι εγκληματίες του κυβερνοχώρου θα μπορούσαν να λάβουν άδεια από τους δημιουργούς της απειλής για $5000.

Λοίμωξη στη χαμηλότερη κατάσταση εκκίνησης

Το BlackLotus περιγράφεται ως bootkit UEFI (Unified Extensible Firmware Interface). Το UEFI είναι μια ευρέως χρησιμοποιούμενη προδιαγραφή που περιγράφει λογισμικό αφιερωμένο στη διευκόλυνση της επικοινωνίας μεταξύ του λειτουργικού συστήματος (λειτουργικό σύστημα) και του υλικολογισμικού. Με τη σειρά του, το υλικολογισμικό είναι το λογισμικό που παρέχει έλεγχο χαμηλού επιπέδου των στοιχείων υλικού του συστήματος. Το UEFI αντικατέστησε το παλαιού τύπου υλικολογισμικό εκκίνησης του BIOS (Basic Input/Output System). Εν ολίγοις, το UEFI είναι ένα από τα πρώτα πράγματα που ξεκινά όταν ένας υπολογιστής είναι ενεργοποιημένος και προηγείται της εκκίνησης του πυρήνα και του λειτουργικού συστήματος. Σύμφωνα με τον πωλητή, τα απειλητικά χαρακτηριστικά του BlackLotus Malware περιλαμβάνουν την παράκαμψη ασφαλούς εκκίνησης, την προστασία RingO/Kernel κατά της αφαίρεσης και τη δυνατότητα εκκίνησης σε ασφαλή λειτουργία.

Ακόμα πιο απειλητικά χαρακτηριστικά

Ωστόσο, το BlackLotus, προφανώς, είναι επίσης εξοπλισμένο με λειτουργίες anti-VM, anti-debug και συσκότισης κώδικα για να αποτρέψει τυχόν πιθανές προσπάθειες ανάλυσης. Ο προγραμματιστής της απειλής δηλώνει ότι το BlackLotus είναι εντελώς μη ανιχνεύσιμο από λύσεις ασφαλείας κατά του κακόβουλου λογισμικού, επειδή εκτελείται κρυφά σε μια νόμιμη διαδικασία κάτω από τον λογαριασμό SYSTEM της συσκευής που έχει παραβιαστεί. Οι εισβολείς θα μπορούσαν επίσης να χρησιμοποιήσουν την απειλή για να απενεργοποιήσουν διάφορες προστασίες ασφαλείας που είναι ενσωματωμένες στα Windows, όπως HVCI (Hypervisor-Protected Code Integrity), UAC (User Account Control) και ακόμη και Microsoft Defender (παλαιότερα γνωστό ως Windows Defender).

Η αντιμετώπιση του BlackLotus προσθέτοντάς το στην ικανότητα ανάκλησης του UEFI, επίσης, θα αποτύχει να παράσχει ουσιαστικά αποτελέσματα, καθώς η εκμεταλλευόμενη ευπάθεια μπορεί να βρεθεί σε εκατοντάδες bootloaders που εξακολουθούν να χρησιμοποιούνται αυτήν τη στιγμή.