На черном рынке якобы доступен редкий новый тип вредоносного ПО, содержащий функции, обычно предназначенные для государственных хакерских инструментов, которые делают обнаружение практически невозможным для любого антивирусного программного обеспечения.
Вредоносное ПО, известное как BlackLotus, предположительно представляет собой буткит Unified Extensible Firmware Interface (UEFI). UEFI — это вычислительный стандарт, который служит интерфейсом между операционной системой и прошивкой; Когда вы включаете компьютер, UEFI запускает загрузчик, который, в свою очередь, запускает ядро и операционную систему.
При загрузке в исходном состоянии вредоносное ПО внедряется в прошивку системы, что позволяет ему обходить все проверки безопасности антивирусного программного обеспечения и, следовательно, оставаться незамеченным.
Тяжелые функции
На онлайн-форуме по вредоносному ПО, где лицензии BlackLotus, судя по всему, продаются по 5,000 евро каждая, поставщик утверждает, что даже Safe Boot не помешает работе этого инструмента, поскольку используется уязвимый загрузчик. Кроме того, они отметили, что добавление этого загрузчика в список отзыва UEFI (откроется в новой вкладке) не решит проблему, поскольку в настоящее время существуют сотни других загрузчиков с такой же уязвимостью, которые можно использовать вместо них.
Еще одним атрибутом, который делает BlackLotus настолько потенциально опасным, является его очевидная защита Ring 0/ядра. Компьютеры работают через защитные кольца, которые разделяют систему на разные уровни в зависимости от их фундаментальной важности для работы машины, чтобы предотвратить утечку возможных угроз и сбоев в другие части.
Доступ через эти кольца становится все труднее. В основе лежит кольцо 0, содержащее ядро: оно соединяет ваше программное обеспечение с вашим оборудованием. Это кольцо представляет собой высший уровень защиты с точки зрения доступа, поэтому, если BlackLotus имеет защиту кольца 0, избавиться от него будет крайне сложно.
Поставщик также заявил, что BlackLotus имеет возможность отключать Защитник Windows и оснащен защитой от отладки для предотвращения обнаружения сканирования вредоносных программ.
Это больше не в руках государства
Эксперты предупреждают, что вредоносное ПО масштаба BlackLotus больше не является исключительной юрисдикцией правительств и штатов. Сергей Ложкин, главный исследователь безопасности в «Лаборатории Касперского», сказал (открывается в новой вкладке): «Раньше эти угрозы и технологии были доступны только ребятам, которые разрабатывают сложные постоянные угрозы, в основном правительствам. Сегодня эти типы инструментов находятся в руках. преступников на форумах.
В прошлом году был обнаружен еще один буткит UEFI под названием ESPecter, который, очевидно, был разработан по крайней мере 10 лет назад для использования в системах BIOS, предшественнике UEFI. Их доступность за пределами государственных групп остается очень редкой, по крайней мере, на данный момент.
Другой эксперт по безопасности, технический директор Eclypsium Скотт Шеферман, попытался развеять опасения, заявив, что они пока не могут быть уверены в предполагаемых утверждениях BlackLotus. находится на ранних стадиях производства и работает не так эффективно, как утверждается.
В любом случае, прогресс в мире киберпреступников движется очень быстро, и если можно будет получить прибыль от производства и использования такого мощного вредоносного ПО, не будет недостатка в спросе на его разработку и улучшение. Как только кот вылезет из мешка, вернуть его обратно будет очень сложно.