BlackLotus haittaohjelma
Haittaohjelmauhka, jota kyberturvallisuustutkijat kuvailevat "melkein havaitsemattomaksi", on vahvistettu tarjottavaksi myyntiin hakkerifoorumeilla. BlackLotukseksi jäljitetty haittaohjelma voi saastuttaa tietokoneen perustavanlaatuisimmat tasot ja tulla erittäin vaikeaksi poistaa. Itse asiassa sen ominaisuudet asettavat sen samalle tasolle uhkaavien työkalujen kanssa, jotka havaittiin osana valtion tukemien hakkerointiryhmien ja APT:iden (Advanced Persistent Threats) arsenaalia. Ilmeisesti kiinnostuneet kyberrikolliset voisivat saada lisenssin uhan luojilta 5000 dollarilla.
Infektio alimmassa käynnistystilassa
BlackLotus on kuvattu UEFI (Unified Extensible Firmware Interface) -käynnistyspakkaukseksi. UEFI on laajalti käytetty spesifikaatio, joka kuvaa ohjelmistoa, joka on tarkoitettu helpottamaan käyttöjärjestelmän (käyttöjärjestelmän) ja laiteohjelmiston välistä viestintää. Laiteohjelmisto puolestaan on ohjelmisto, joka tarjoaa järjestelmän laitteistokomponenttien matalan tason hallinnan. UEFI korvasi vanhan BIOS-käynnistyslaitteiston (Basic Input/Output System). Lyhyesti sanottuna UEFI on yksi ensimmäisistä asioista, jotka käynnistyvät, kun tietokone käynnistetään ja edeltää ytimen ja käyttöjärjestelmän käynnistystä. Myyjän mukaan BlackLotus-haittaohjelman uhkaavia ominaisuuksia ovat muun muassa Secure Boot ohitus, RingO/Kernel-suojaus poistamista vastaan ja kyky käynnistyä vikasietotilassa.
Vielä enemmän uhkaavia ominaisuuksia
Ilmeisesti BlackLotus on kuitenkin varustettu anti-VM-, anti-debug- ja koodin hämärtymisominaisuuksilla mahdollisten analyysiyritysten estämiseksi. Uhan kehittäjä toteaa, että BlackLotus ei ole täysin havaittavissa haittaohjelmien torjuntaratkaisuilla, koska se toimii piilossa laillisen prosessin sisällä rikotun laitteen SYSTEM-tilin alla. Hyökkääjät voivat myös hyödyntää uhkaa poistaakseen käytöstä useita Windowsin sisäänrakennettuja suojauksia, kuten HVCI (Hypervisor-Protected Code Integrity), UAC (User Account Control) ja jopa Microsoft Defender (aiemmin Windows Defender).
Myöskään BlackLotuksen käsitteleminen lisäämällä se UEFI:n kumoamiskykyyn ei tuota mielekkäitä tuloksia, koska hyödynnetty haavoittuvuus löytyy sadoista tällä hetkellä edelleen käytössä olevista käynnistyslataimista.
