Zlonamerna programska oprema BlackLotus

Potrjeno je, da je grožnja z zlonamerno programsko opremo, ki jo raziskovalci kibernetske varnosti opisujejo kot "skoraj nezaznavna", naprodaj na hekerskih forumih. Zlonamerna programska oprema, ki jo spremljamo kot BlackLotus, lahko okuži najbolj temeljne ravni računalnika in jo je izjemno težko odstraniti. Pravzaprav ga njegove zmogljivosti postavljajo na raven z orodji za grožnje, ki so opažena kot del arzenala hekerskih skupin, ki jih sponzorira država, in APT (Advanced Persistent Threats). Očitno bi lahko zainteresirani kiberkriminalci pridobili licenco od ustvarjalcev grožnje za 5000 $.

Okužba pri najnižjem stanju zagona

BlackLotus je opisan kot zagonski komplet UEFI (Unified Extensible Firmware Interface). UEFI je široko uporabljena specifikacija, ki opisuje programsko opremo, namenjeno olajšanju komunikacije med OS (operacijskim sistemom) in vdelano programsko opremo. Po drugi strani pa je vdelana programska oprema programska oprema, ki omogoča nadzor nizke ravni strojnih komponent sistema. UEFI je nadomestil zagonsko vdelano programsko opremo starejše različice BIOS-a (Basic Input/Output System). Skratka, UEFI je ena prvih stvari, ki se zaženejo, ko je računalnik vklopljen, in je pred zagonom jedra in operacijskega sistema. Po navedbah prodajalca grozeče lastnosti zlonamerne programske opreme BlackLotus vključujejo obvod varnega zagona, zaščito RingO/jedra pred odstranitvijo in možnost zagona v varnem načinu.

Še bolj nevarne funkcije

Vendar pa je BlackLotus očitno opremljen tudi s funkcijami za preprečevanje VM, za odpravljanje napak in zakrivanje kode, da prepreči morebitne poskuse analize. Razvijalec grožnje navaja, da varnostne rešitve proti zlonamerni programski opremi popolnoma ne morejo zaznati BlackLotusa, ker se izvaja skrit v zakonitem procesu pod SISTEMSKIM računom vlomljene naprave. Napadalci lahko grožnjo uporabijo tudi za onemogočanje več varnostnih zaščit, ki so vgrajene v Windows, kot so HVCI (Celovitost kode, zaščitene s hipervizorjem), UAC (Nadzor uporabniškega računa) in celo Microsoft Defender (prej znan kot Windows Defender).

Ukvarjanje z BlackLotusom tako, da ga dodate zmožnosti preklica UEFI, prav tako ne bo prineslo nobenih pomembnih rezultatov, saj je izkoriščeno ranljivost mogoče najti v stotinah zagonskih nalagalnikov, ki so trenutno še v uporabi.