BlackLotus, bootkit UEFI, który jest sprzedawany na forach hakerskich za około 5 tys. dol., może teraz ominąć Secure Boot, najważniejszy mechanizm bezpieczeństwa w systemach Windows. Jest to więc pierwsze malware, które działa nawet wtedy, kiedy system ma włączone oprogramowanie bezpieczeństwa.
Dzięki temu bootkitowi można w systemie, w którym się zagnieździł zrobić praktycznie wszystko – od podsłuchiwania haseł bankowych po przejęcie książki adresowej i rozsyłanie spamu influencerskiego w imieniu właściciela komputera. Takim właśnie malware miał zapobiegać Secure Boot. Ominięto jego działanie w ten sposób, że BlackLotus atakując UEFI, ładuje się jako absolutnie pierwsze oprogramowanie w uruchamiającym się systemie, nawet przed wszelkimi narzędziami bezpieczeństwa, które mogłyby go zatrzymać.
BlackLotus pojawił się jako gotowy pakiet do sprzedaży na czarnym rynku w październiku 2022 roku. Cena się nie zmieniła, wynosi 5000 dolarów i ponoć kilka firm bezpieczeństwa wyłożyło przez pośredników takie pieniądze, by rozebrać to malware na części i dokonać jego analizy.
Według analityka malware Martina Smolára z firmy bezpieczeństwa ESET, ten bootkit jest pierwszym, który działa w systemie operacyjnym z włączonymi wszystkimi mechanizmami bezpieczeństwa. Jak dodał: to złośliwe oprogramowanie „jest w stanie działać nawet na w pełni aktualnych systemach Windows 11 z włączonym UEFI Secure Boot”.
BlackLotus wykorzystuje istniejącą od ponad roku lukę CVE-2022-21894, aby ominąć proces bezpiecznego rozruchu i uruchomić się jako pierwszy. Według Smolára Microsoft naprawił tę lukę w styczniu 2022 r., ale cyberprzestępcy nadal mogą go wykorzystywać, ponieważ podpisane pliki binarne, których dotyczy problem, nie zostały dodane do listy odwołań UEFI, co jest dużym błędem.
„BlackLotus wykorzystuje to, wprowadzając do systemu własne kopie legalnych – ale wrażliwych – plików binarnych w celu wykorzystania luki” – napisał analityk. Zresztą Black Lotus nie jest jedyny – pojawiło się kilka malware wykorzystujących tę lukę. Niektóre już w sierpniu 2022 r., ale żadne z nich nie było tak zaawansowane jak Black Lotus. To malware poza uruchamianiem się jako pierwsze potrafi też wyłączyć kilka systemowych narzędzi bezpieczeństwa jak BitLocker, integralność kodu zabezpieczaną Hypervisorem (HVCI) oraz Windows Defender, a także ominąć kontrolę konta użytkownika (UAC).
I chociaż badacze nie przypisują złośliwego oprogramowania konkretnemu gangowi lub hackerom na żołdzie któregoś z „aktorów państwowych”, jak Rosja i Chiny, analitycy zauważają, że instalatory BlackLotus nie zostaną uruchomione, jeśli zainfekowany komputer znajduje się w Armenii, Białorusi, Kazachstanie, Mołdawii, Rumunii, Rosji i Ukrainie. Wskazywałoby to na międzynarodową grupę cyberprzestępczą niekoniecznie zresztą umiejscowioną w którymś z tych krajów.
Gdy BlackLotus wykorzysta lukę CVE-2022-21894 i wyłączy narzędzia bezpieczeństwa systemu, uruchamia sterownik jądra i narzędzie do pobierania HTTP. Sterownik jądra między innymi chroni pliki bootkitów przed usunięciem, podczas gdy downloader HTTP komunikuje się z serwerem dowodzenia i ściąga aktualizacje lub przekazuje dane z zaatakowanego komputera. Jeszcze w zeszłym roku analitycy ESET wykryli luki UEFI w notebookach Lenovo, co umożliwiało atakującym ominiecie Secure Boot i jak napisał Smolar „to była tylko kwestia czasu, zanim ktoś wykorzysta te awarie i stworzy bootkit UEFI zdolny do działania w systemach z włączonym UEFI Secure Boot”.
