Uusi UEFI-haittaohjelma löydetty: BlackLotus-bootkit kiertää suojaukset

Kyberturvallisuusyritys Rohde & Schwarz on havainnut ensimmäisen julkisesti tunnetun UEFI-bootkitin, joka toimii "in-the-wild" -ympäristössä ja ohittaa käyttöjärjestelmän perustavanlaatuisen Secure Boot -suojausmekanismin. Havainnon uskotaan liittyvän BlackLotus-nimiseen haittaohjelmaan, jota on myyty hakkurifoorumeilla noin 5000 dollarilla syksystä lähtien.

UEFI (Unified Extensible Firmware Interface) on käyttöjärjestelmän ja laiteohjelmiston välinen rajapinta. UEFI Secure Boot on suunniteltu estämään haittaohjelmien latautuminen järjestelmän käynnistyksen aikana. BlackLotus-bootkitin kyky ohittaa tämä suojaus mahdollistaa sen toimimisen myös uusimmissa Windows 11 -järjestelmissä, vaikka Secure Boot olisi käytössä.

UEFI-bootkitit ovat erityisen vaarallisia, koska ne saavat täyden hallinnan järjestelmän käynnistysprosessiin. Tämä mahdollistaa käyttöjärjestelmän turvamekanismien poiskytkemisen ja haittaohjelman piilottamisen järjestelmän ytimeen jo käynnistyksen alkuvaiheessa. Tällainen haittaohjelma on tavallisille virustorjuntaohjelmille näkymätön ja voi selvitä käyttöjärjestelmän uudelleenasennuksesta tai kovalevyn vaihdosta. Lisäksi ne voivat vahingoittaa laiteohjelmistoa, lukita tietokoneen tai kaapata koko järjestelmän.

Rohde & Schwarz tarjoaa turvaa tällaisia uhkia vastaan R&S®Trusted Endpoint Suite -ratkaisullaan, joka sisältää käyttöjärjestelmästä riippumattoman R&S®Trusted VPN Clientin. Se toimii kuin UEFI-palomuuri ja estää haittaohjelmia pesiytymästä laiteohjelmistoon, sekä R&S®Trusted Disk -levynsalausohjelman. Nämä ratkaisut on hyväksynyt Saksan liittovaltion tietoturvavirasto (BSI) luokiteltujen tietojen suojaamiseen.