Podobno na czarnym rynku pojawił się rzadki nowy typ złośliwego oprogramowania, zawierający funkcje zwykle zarezerwowane dla państwowych narzędzi hakerskich, które praktycznie uniemożliwiają wykrycie przez jakiekolwiek oprogramowanie antywirusowe.
Złośliwe oprogramowanie, znane jako BlackLotus, jest rzekomo zestawem startowym Unified Extensible Firmware Interface (UEFI). UEFI to standard obliczeniowy, który służy jako interfejs między systemem operacyjnym a oprogramowaniem układowym; po włączeniu komputera UEFI uruchamia program ładujący, który z kolei uruchamia jądro i system operacyjny.
Ładując się do początkowego stanu rozruchu, złośliwe oprogramowanie osadza się w oprogramowaniu systemowym, umożliwiając mu ominięcie wszystkich kontroli bezpieczeństwa oprogramowania antywirusowego i tym samym pozostanie niewykrytym.
ciężkie rysy
Na internetowym forum poświęconym złośliwemu oprogramowaniu, na którym licencje BlackLotus najwyraźniej sprzedają się po 5,000 euro za sztukę, sprzedawca twierdzi, że nawet Bezpieczny rozruch nie udaremni działania narzędzia, ponieważ używany jest podatny na ataki program ładujący. Ponadto zauważyli, że dodanie tego programu ładującego do listy odwołań UEFI (otwiera się w nowej karcie) nie rozwiązałoby problemu, ponieważ obecnie istnieją setki innych z tą samą luką, których można użyć zamiast tego.
Kolejną cechą, która sprawia, że BlackLotus jest tak potencjalnie niebezpieczny, jest pozorna ochrona pierścienia 0/jądra. Komputery działają poprzez pierścienie ochrony, które dzielą system na różne poziomy w zależności od jego fundamentalnego znaczenia dla działania maszyny, aby zapobiec przedostawaniu się potencjalnych zagrożeń i awarii do innych stron.
Dostęp przez te pierścienie staje się coraz trudniejszy. W jego sercu znajduje się Ring 0, który zawiera jądro: to ono łączy twoje oprogramowanie ze sprzętem. Ten pierścień reprezentuje najwyższy poziom ochrony w zakresie dostępu, więc jeśli BlackLotus ma ochronę pierścienia 0, byłoby niezwykle trudno się go pozbyć.
Sprzedawca twierdził również, że BlackLotus ma możliwość wyłączenia programu Windows Defender i jest wyposażony w funkcję anty-debugowania, aby zapobiec wykryciu przez skanowanie złośliwego oprogramowania.
Nie jest już w rękach państwa.
Eksperci ostrzegają, że złośliwe oprogramowanie na skalę BlackLotus nie podlega już wyłącznej jurysdykcji rządów i stanów. Siergiej Łożkin, główny badacz ds. bezpieczeństwa w firmie Kaspersky, powiedział (otwiera się w nowej karcie): „Wcześniej te zagrożenia i technologie były dostępne tylko dla osób, które opracowują zaawansowane trwałe zagrożenia, głównie dla rządów. Dziś tego rodzaju narzędzia znajdują się w rękach przestępcy na forach".
W zeszłym roku odkryto inny bootkit UEFI o nazwie ESPecter, który najwyraźniej został zaprojektowany co najmniej 10 lat temu do użytku w systemach BIOS, prekursorach UEFI. Ich dostępność poza pulami państwowymi pozostaje bardzo rzadka, przynajmniej na razie.
Inny ekspert ds. bezpieczeństwa, Eclypsium CTO, Scott Scheferman, próbował uspokoić obawy, mówiąc, że nadal nie mogą być pewni rzekomych twierdzeń BlackLotus, mówiąc, że chociaż może to stanowić postęp w zakresie łatwości dostępu do tak potężnych narzędzi, może wciąż znajduje się na wczesnym etapie produkcji i nie działa tak wydajnie, jak twierdzono.
Tak czy inaczej, postęp w świecie cyberprzestępców postępuje bardzo szybko, a jeśli będzie można czerpać zyski z produkcji i wykorzystywania tak potężnego szkodliwego oprogramowania, nie zabraknie popytu na jego rozwój i ulepszanie. Po wyjęciu kota z worka bardzo trudno jest go włożyć z powrotem.