Presumibilmente, sul mercato nero è disponibile un nuovo raro tipo di malware, contenente funzionalità tipicamente riservate agli strumenti di hacking gestiti dallo stato che rendono il rilevamento praticamente impossibile per qualsiasi software antivirus.
Conosciuto come BlackLotus, si dice che il malware sia un kit di avvio Unified Extensible Firmware Interface (UEFI). UEFI è lo standard informatico che funge da interfaccia tra il sistema operativo e il firmware; quando accendi il computer, UEFI avvia un bootloader, che a sua volta avvia il kernel e il sistema operativo.
Caricandosi nello stato di avvio iniziale, il malware si integra nel firmware di un sistema, consentendogli di aggirare tutti i controlli di sicurezza del software antivirus e quindi di non essere rilevato.
caratteristiche pesanti
In un forum di malware online in cui le licenze di BlackLotus vengono apparentemente vendute a 5,000 euro ciascuna, il venditore afferma che anche l'avvio sicuro non ostacolerà lo strumento, poiché viene utilizzato un bootloader vulnerabile. Hanno inoltre notato che l'aggiunta di questo bootloader all'elenco di revoche UEFI (si apre in una nuova scheda) non risolverebbe il problema, poiché attualmente ce ne sono centinaia di altri con la stessa vulnerabilità che possono essere utilizzati al suo posto.
Un altro attributo che rende BlackLotus così potenzialmente pericoloso è la sua apparente protezione Ring 0/kernel. I computer funzionano attraverso anelli di protezione che compartimentano il sistema in diversi livelli a seconda della sua importanza fondamentale per il funzionamento della macchina, al fine di evitare che potenziali minacce e guasti trapelino ad altre parti.
L'accesso attraverso questi anelli diventa sempre più difficile. Al suo centro c'è l'anello 0, che contiene il kernel: è ciò che collega il tuo software al tuo hardware. Questo anello rappresenta il più alto livello di protezione in termini di accesso, quindi se BlackLotus ha la protezione dell'anello 0, sarebbe estremamente difficile liberarsene.
Il venditore ha anche affermato che BlackLotus ha la capacità di disabilitare Windows Defender e viene fornito con anti-debug per impedire il rilevamento da scansioni di malware.
Non è più nelle mani dello Stato.
Gli esperti avvertono che il malware su scala BlackLotus non è più competenza esclusiva di governi e stati. Sergey Lozhkin, principale ricercatore sulla sicurezza di Kaspersky, ha dichiarato (si apre in una nuova scheda): "In precedenza, queste minacce e tecnologie erano accessibili solo a coloro che sviluppano minacce persistenti avanzate, principalmente i governi. Oggi, questi tipi di strumenti sono nelle mani di criminali sui forum.
L'anno scorso è stato scoperto un altro bootkit UEFI chiamato ESPecter, apparentemente progettato almeno 10 anni fa per l'uso nei sistemi BIOS, il precursore di UEFI. La loro disponibilità al di fuori dei pool statali rimane molto rara, almeno per ora.
Un altro esperto di sicurezza, il CTO di Eclypsium Scott Scheferman, ha cercato di placare le preoccupazioni affermando che non potevano ancora essere sicuri delle presunte affermazioni di BlackLotus, affermando che sebbene possa rappresentare un progresso in termini di facilità di accesso a strumenti così potenti, potrebbe essere ancora nelle sue prime fasi di produzione e non funzionare in modo efficiente come affermato.
In ogni caso, la marcia del progresso si sta muovendo molto rapidamente nel mondo dei criminali informatici e se è possibile trarre profitti dalla produzione e dall'uso di un malware così potente, non mancherà la domanda per il suo sviluppo e miglioramento. Una volta che il gatto è fuori dal sacco, è molto difficile rimetterlo dentro.