Tại sao nó quan trọng: Được phát hiện vào tháng 10 năm 2022, BlackLotus là một bộ công cụ khởi động tương thích với UEFI mạnh mẽ được bán trên các chợ ngầm với giá 5.000 USD cho mỗi giấy phép. Phần mềm độc hại cung cấp các khả năng ấn tượng và một phân tích mới hiện xác nhận nỗi sợ hãi tồi tệ nhất của các chuyên gia bảo mật.
BlackLotus là một mối đe dọa mạnh mẽ đối với bảo mật máy tính dựa trên phần sụn hiện đại. Bộ công cụ khởi động UEFI này cung cấp các khả năng tấn công trước đây chỉ dành cho các mối đe dọa liên tục nâng cao (APT) và các nhóm do nhà nước tài trợ để viết kịch bản cho trẻ em và bất kỳ “khách hàng” trả tiền nào. Các nhà nghiên cứu của Kaspersky đã phát hiện và phân tích phần mềm độc hại này vào năm 2022 và tìm thấy một hỗn hợp rất nhỏ gọn giữa mã Assembly và mã C.
Một báo cáo mới của nhà phân tích Martin Smolár của ESET ngay bây giờ xác nhận một trong những khả năng nổi bật và nguy hiểm nhất của phần mềm độc hại: BlackLotus là bộ công cụ khởi động UEFI “tự nhiên” đầu tiên xâm phạm hệ thống ngay cả khi tính năng Khởi động an toàn được bật chính xác. Smolár cho biết đây là một bộ công cụ độc hại có thể chạy trên các hệ thống UEFI được cập nhật đầy đủ.
BlackLotus cũng có thể thực hiện những hành vi bẩn thỉu của mình trên hệ thống Windows 11 được cập nhật đầy đủ. Doanh nghiệp bảo mật Slovakia cho biết phần mềm độc hại này là mối đe dọa được biết đến công khai đầu tiên được thiết kế để lạm dụng CVE-2022-21894 “Lỗ hổng bỏ qua tính năng bảo mật khởi động an toàn”. Microsoft đã sửa lỗ hổng này vào tháng 1 năm 2022. Tuy nhiên, những kẻ xấu vẫn có thể khai thác lỗ hổng này bằng cách sử dụng các tệp nhị phân được ký hợp lệ không được thêm vào việc thu hồi UEFI danh sách.
Bootkit có thể vô hiệu hóa nhiều tính năng bảo mật nâng cao ở cấp hệ điều hành, chẳng hạn như BitLocker, HVCI và Windows Defender. Smolár lưu ý rằng sau khi được cài đặt, mục tiêu chính của phần mềm độc hại là triển khai trình điều khiển nhân, trình điều khiển này bảo vệ bộ công cụ khởi động khỏi bị xóa. Sau đó, trình tải xuống HTTP sẽ liên hệ với máy chủ chỉ huy & kiểm soát để được hướng dẫn thêm hoặc tải trọng độc hại ở chế độ người dùng hoặc chế độ nhân bổ sung.
Theo Smolár, ưu đãi BlackLotus được phát hiện trên các diễn đàn hacker là có thật. Phần mềm độc hại có khả năng như người bán ban đầu đã nói và chúng ta chưa biết ai đã tạo ra nó. Cho đến nay, bằng chứng rõ ràng nhất về nguồn gốc của nó là một số trình cài đặt BlackLotus không tiến hành cài đặt bootkit trên các hệ thống ở Moldova, Nga, Ukraine, Belarus, Armenia hoặc Kazakhstan.
Smolár chỉ ra rằng UEFI bootkit là “mối đe dọa rất mạnh” vì chúng kiểm soát quá trình khởi động của hệ điều hành và vô hiệu hóa các cơ chế bảo mật khác nhau của hệ điều hành để triển khai các tải trọng độc hại một cách vô hình trong quá trình khởi động. BlackLotus là phiên bản đầu tiên của bộ sách UEFI toàn năng thực sự được phát hiện trong tự nhiên. Nó có thể sẽ không phải là lần cuối cùng kể từ khi bằng chứng của khái niệm để khai thác CVE-2022-21894 đã có sẵn trên GitHub.