Malware-ul se află într-o fază de testare a conceptului, dar o rafinare ulterioară s-ar putea dovedi o amenințare
Pe scurt: O descoperire întâmplătoare a dus la un nou avertisment privind amenințările la adresa Linux. Platforma open-source devine o țintă din ce în ce mai gustoasă pentru infractorii cibernetici, iar autorii de malware caută acum să ajungă la cele mai joase niveluri ale nucleului așa cum au făcut-o deja pe Windows.
„Bootkitty” este un program malware nou și îngrijorător care vizează sistemele Linux. Analiștii Eset au descoperit recent bootkit-ul într-o aplicație UEFI necunoscută anterior (bootkit.efi) pe care cineva a încărcat-o în VirusTotal. Deși nu este încă complet, Bootkitty este descris ca fiind primul kit de boot UEFI pentru Linux pe care cercetătorii l-au găsit.
Bootkit-urile precum BlackLotus sunt un anumit tip de malware conceput pentru a infecta faza de pornire a sistemului de operare. Ele își ascund prezența și obțin, în esență, controlul total asupra sistemului de operare și a aplicațiilor utilizatorului prin înlocuirea, compromiterea sau schimbarea semnificativă a încărcării inițiale sau a procesului de pornire.
Cercetătorii europeni au confirmat că Bootkitty vizează Linux, deși funcționează numai împotriva distribuțiilor Ubuntu specifice. Eșantionul încărcat pe VirusTotal folosește un certificat de securitate autosemnat, ceea ce înseamnă că nu va rula pe sisteme UEFI protejate de controversata caracteristică Secure Boot. Cu toate acestea, nimic nu îi împiedică pe hackeri hotărâți să rafineze malware-ul.
Bootkitty include rutine specifice pentru a submina multe funcții din firmware-ul UEFI, kernel-ul Linux și încărcătorul de pornire GRUB. Bootkitty poate porni teoretic kernel-ul Linux „fără întreruperi”, chiar și cu Secure Boot activat, după care se injectează în procesele programului la lansarea sistemului.
Cu toate acestea, Bootkitty nu funcționează așa cum a fost prevăzut, în ciuda complexității sale aparente. Eset a spus că bootkit-ul conține multe artefacte și caracteristici brute, ceea ce sugerează că autorii de malware încă lucrează la codul său. Cercetătorii au descoperit, de asemenea, un modul de kernel posibil asociat, numit BCDropper, conceput pentru a implementa programe ELF (Linux) utile pentru încărcarea modulelor suplimentare de kernel.
Chiar dacă este încă în stadiul de demonstrare a conceptului, Bootkitty este o dezvoltare interesantă în peisajul amenințărilor UEFI. Bootkiturile și rootkit-urile UEFI au vizat în mod tradițional doar sistemele Windows, dar platformele Linux sunt acum suficient de răspândite pentru a deveni o țintă atrăgătoare. Comunitatea de securitate ar trebui să se pregătească pentru viitoare amenințări, avertizează Eset.