BlackLotus Malware

אושר כי איום תוכנה זדוני שחוקרי אבטחת סייבר מתארים כ"כמעט בלתי ניתן לזיהוי" מוצע למכירה בפורומי האקרים. במעקב כמו BlackLotus, התוכנה הזדונית יכולה להדביק את הרמות הבסיסיות ביותר של מחשב ולהיות קשה מאוד להסרה. למעשה, היכולות שלו מציבות אותו עם הכלים המאיימים שנצפו כחלק מהארסנל של קבוצות פריצה בחסות המדינה ו-APTs (Advanced Persistent Threats). ככל הנראה, פושעי סייבר מעוניינים יוכלו לקבל רישיון מיוצרי האיום תמורת 5,000 דולר.

זיהום במצב אתחול הנמוך ביותר

BlackLotus מתואר כערכת אתחול של UEFI (Unified Extensible Firmware Interface). UEFI הוא מפרט בשימוש נרחב המתאר תוכנה המיועדת להקלת התקשורת בין מערכת ההפעלה (מערכת ההפעלה) והקושחה. בתורו, קושחה היא התוכנה המספקת שליטה ברמה נמוכה על רכיבי החומרה של המערכת. UEFI החליף את קושחת האתחול של BIOS (מערכת קלט/פלט בסיסית). בקיצור, UEFI הוא אחד הדברים הראשונים שמתחילים כאשר מחשב מופעל ומקדים את האתחול של הליבה ומערכת ההפעלה. לדברי המוכר, המאפיינים המאיימים של BlackLotus Malware כוללים מעקף אתחול מאובטח, הגנת RingO/Kernel מפני הסרה ויכולת להתחיל במצב בטוח.

תכונות מאיימות אפילו יותר

עם זאת, BlackLotus, ככל הנראה, מצויד גם בתכונות אנטי-VM, אנטי באגים וערפול קוד כדי למנוע ניסיונות ניתוח פוטנציאליים. מפתח האיום מצהיר ש-BlackLotus לחלוטין לא ניתן לזיהוי על ידי פתרונות אבטחה נגד תוכנות זדוניות מכיוון שהוא פועל מוסתר בתוך תהליך לגיטימי מתחת לחשבון SYSTEM של המכשיר הפרוץ. תוקפים יכולים גם לנצל את האיום כדי להשבית מספר הגנות אבטחה המובנות ב-Windows, כגון HVCI (שלמות קוד מוגנת באמצעות Hypervisor), UAC (בקרת חשבון משתמש), ואפילו Microsoft Defender (שנודע בעבר כ-Windows Defender).

התמודדות עם BlackLotus על ידי הוספתו ליכולת הביטול של UEFI גם לא תספק תוצאות משמעותיות, מכיוון שהפגיעות המנוצלת יכולה להימצא במאות מטעני אתחול שעדיין נמצאים בשימוש.