Karaborsada, genellikle devletler tarafından kullanılan ve herhangi bir virüsten koruma yazılımının algılamasını neredeyse imkansız hale getiren bilgisayar korsanlığı araçlarına ayrılmış özellikleri içeren yeni ve nadir bir kötü amaçlı yazılım türü olduğu iddia ediliyor.
BlackLotus olarak bilinen kötü amaçlı yazılımın, Birleşik Genişletilebilir Ürün Yazılımı Arabirimi (UEFI) önyükleme seti olduğu iddia ediliyor. UEFI, işletim sistemi ile bellenim arasında arayüz görevi gören bilgi işlem standardıdır; bilgisayarınızı açtığınızda, UEFI, çekirdeği ve işletim sistemini önyükleyen bir önyükleyici başlatır.
Kötü amaçlı yazılım, ilk önyükleme durumunda yüklenerek kendisini bir sistemin donanım yazılımına gömer ve virüsten koruma yazılımından gelen tüm güvenlik kontrollerini atlamasına ve böylece algılanmadan kalmasına olanak tanır.
Ağır Özellikler
BlackLotus lisanslarının görünüşe göre her biri 5.000 $’a satıldığı bir çevrimiçi kötü amaçlı yazılım forumunda satıcı, savunmasız bir önyükleyici kullanıldığından Güvenli Önyükleme’nin bile aracı engellemeyeceğini iddia ediyor. Ayrıca, bu önyükleyiciyi UEFI İptal Listesi (yeni sekmede açılır) şu anda bunun yerine kullanılabilecek aynı güvenlik açığına sahip yüzlerce kişi olduğu için sorunu çözemezdi.
BlackLotus’u bu kadar potansiyel olarak tehlikeli yapan bir diğer özellik, görünür Ring 0/çekirdek korumasıdır. Bilgisayarlar, olası tehditlerin ve arızaların diğer parçalara sızmasını önlemek için, makinenin çalışması için ne kadar temel olduklarına bağlı olarak sistemi farklı seviyelere ayıran koruma halkaları kullanarak çalışır.
Bu halkalardan erişim sağlamak giderek zorlaşıyor. Çekirdekte, çekirdeği içeren Ring 0 bulunur: yazılımınızı donanımınıza bağlayan budur. Bu halka, erişim açısından en yüksek koruma düzeyini temsil eder, bu nedenle BlackLotus gerçekten de halka 0 korumasına sahipse, kurtulmak son derece zor olacaktır.
Satıcı ayrıca BlackLotus’un Windows Defender’ı devre dışı bırakma yeteneğine sahip olduğunu ve kötü amaçlı yazılım taramalarından algılanmasını önlemek için hata ayıklama önleme özelliğiyle birlikte geldiğini iddia etti.
Artık devletin elinde değil
Uzmanlar, BlackLotus ölçeğindeki kötü amaçlı yazılımların artık hükümetlerin ve eyaletlerin tek eyaleti olmadığı konusunda uyarıyorlar. Kaspersky’nin baş güvenlik araştırmacısı Sergey Lozhkin belirtilmiş (yeni sekmede açılır)“Bu tehditlere ve teknolojilere önceden yalnızca gelişmiş kalıcı tehditler geliştiren adamlar, çoğunlukla hükümetler erişebiliyordu. Şimdi bu tür araçlar tüm forumlardaki suçluların elinde.”
Geçen yıl, başka bir UEFI önyükleme seti ESPecter olarak bilinir keşfedildi ve görünüşe göre en az 10 yıl önce UEFI’nin öncüsü olan BIOS sistemlerinde kullanılmak üzere tasarlandı. Devlet tarafından yönetilen grupların dışındaki mevcudiyetleri, en azından şimdilik, hala çok nadirdir.
Başka bir güvenlik uzmanı – Eclypsium CTO’su Scott Scheferman – BlackLotus’un iddia edilen iddialarından henüz emin olamayacaklarını söyleyerek endişeleri gidermeye çalıştı ve bu tür güçlü araçlara erişim kolaylığı açısından ileriye doğru bir sıçramayı temsil edebileceğini ileri sürdü. hala üretimin yeni aşamalarında olabilir ve iddia edildiği kadar etkili çalışmayabilir.
Ne olursa olsun, siber suç dünyasında ilerleme çok hızlı ilerliyor ve bu kadar güçlü kötü amaçlı yazılımların üretilmesinden ve kullanılmasından kar elde edilebiliyorsa, geliştirilmesi ve iyileştirilmesi için talep sıkıntısı olmayacaktır. Kedi çantadan çıktıktan sonra tekrar yerine koymak çok zordur.