Malvér BlackLotus
Potvrdilo sa, že na hackerských fórach sa ponúka na predaj malvérová hrozba, ktorú výskumníci v oblasti kybernetickej bezpečnosti označujú za „takmer nezistiteľnú“. Malvér, ktorý je sledovaný ako BlackLotus, môže infikovať najzákladnejšie úrovne počítača a je veľmi ťažké ho odstrániť. V skutočnosti ho jeho schopnosti stavajú na rovnakú úroveň ako hroziace nástroje pozorované ako súčasť arzenálu štátom sponzorovaných hackerských skupín a APT (Advanced Persistent Threats). Zainteresovaní kyberzločinci by zrejme mohli získať licenciu od tvorcov hrozby za 5 000 dolárov.
Infekcia v stave najnižšieho spustenia
BlackLotus je opísaný ako bootkit UEFI (Unified Extensible Firmware Interface). UEFI je široko používaná špecifikácia, ktorá popisuje softvér určený na uľahčenie komunikácie medzi OS (operačným systémom) a firmvérom. Firmvér je zase softvér, ktorý poskytuje nízkoúrovňové riadenie hardvérových komponentov systému. UEFI nahradil starší firmvér zavádzania systému BIOS (Basic Input/Output System). Stručne povedané, UEFI je jedna z prvých vecí, ktoré sa spúšťajú pri zapnutí počítača a predchádza bootovaniu jadra a OS. Medzi ohrozujúce funkcie BlackLotus Malware patrí podľa predajcu Secure Boot bypass, RingO/Kernel ochrana proti odstráneniu a možnosť spustenia v Safe Mode.
Ešte viac hrozivých funkcií
BlackLotus je však zjavne vybavený aj funkciami proti VM, ladeniu a zahmlievaniu kódu, aby sa zabránilo akýmkoľvek potenciálnym pokusom o analýzu. Vývojár hrozby uvádza, že BlackLotus je úplne nezistiteľný bezpečnostnými riešeniami proti malvéru, pretože beží skrytý v rámci legitímneho procesu pod účtom SYSTEM narušeného zariadenia. Útočníci by tiež mohli využiť hrozbu na deaktiváciu niekoľkých bezpečnostných ochrán, ktoré sú súčasťou systému Windows, ako napríklad HVCI (integrita kódu chránená hypervízorom), UAC (kontrola používateľských účtov) a dokonca aj Microsoft Defender (predtým známy ako Windows Defender).
Vyrovnanie sa s BlackLotus jeho pridaním k schopnosti odvolať UEFI tiež neprinesie žiadne zmysluplné výsledky, pretože zneužitú zraniteľnosť možno nájsť v stovkách bootloaderov, ktoré sa v súčasnosti stále používajú.
