První linuxový UEFI bootkit odhalen: Bootkitty otevírá novou kapitolu kybernetických hrozeb

Pavel Trousil 29.11.2024

Výzkumníci společnosti ESET odhalili první UEFI bootkit zaměřený na operační systém Linux. Škodlivý software pojmenovaný Bootkitty představuje významný milník v oblasti kybernetických hrozeb, neboť dosud byly podobné útoky spojovány výhradně se systémem Windows.

Zatímco v minulosti byly UEFI bootkity výsadou útoků na Windows, objev Bootkitty ukazuje, že ani linuxové systémy již nejsou imunní. Podle výzkumníků jde pravděpodobně zatím jen o proof of concept (důkaz konceptu), který nebyl nasazen v reálných útocích. Přesto jeho existence vysílá jasný signál o rozšiřování bezpečnostních rizik.

Technické detaily útoku

Hlavním cílem bootkitu je deaktivace ověřování podpisů jádra systému a předběžné načtení dvou zatím neznámých ELF binárních souborů prostřednictvím Linux init procesu. Bootkitty je podepsán certifikátem, což znamená, že nemůže běžet na systémech s aktivovaným UEFI Secure Boot, pokud není certifikát útočníků nainstalován.

Omezená kompatibilita

Výzkumníci zjistili, že Bootkitty podporuje pouze omezený počet systémů, především některé verze Ubuntu. To je způsobeno používáním pevně zakódovaných vzorců bajtů pro vyhledávání funkcí, které chce modifikovat v paměti. Tento přístup významně omezuje použitelnost malwaru na širší škále systémů.

I když Bootkitty může být pouze experimentálním projektem, jeho existence upozorňuje na rozšiřující se oblast kybernetických hrozeb. Ukazuje, že útočníci aktivně hledají nové způsoby, jak kompromitovat i dosud relativně bezpečné linuxové systémy.
Objev tohoto bootkitu následuje po řadě významných objevů v oblasti UEFI hrozeb, včetně notorious BlackLotus z roku 2023, který byl prvním UEFI bootkitem schopným obejít UEFI Secure Boot na aktualizovaných systémech.

Mohlo by vás zajímat

Odhalen nový typ útoků: ruští hackeři k němu využívají Wi-Fi sousedů

Bezpečnost

Klíčové body:
V listopadu 2024 byla na VirusTotal nahrána dosud neznámá UEFI aplikace nazvaná bootkit.efi.
Počáteční analýza ESETu potvrdila, že jde o UEFI bootkit, který jeho tvůrci pojmenovali Bootkitty a překvapivě je prvním UEFI bootkitem cílícím na Linux, konkrétně na několik verzí Ubuntu.
Bootkitty je podepsán vlastním certifikátem, a proto není schopen běžet na systémech s aktivovaným UEFI Secure Boot, pokud nejsou nainstalovány certifikáty útočníků.
Bootkitty je navržen tak, aby bez problémů spouštěl linuxové jádro bez ohledu na to, zda je UEFI Secure Boot aktivní nebo ne, protože upravuje v paměti nezbytné funkce zodpovědné za ověřování integrity před spuštěním GRUBu.
bootkit.efi obsahuje mnoho artefaktů naznačujících, že jde spíše o důkaz konceptu než o dílo aktivního útočníka.
V ESETu objevili potenciálně související modul, který pojmenovali BCDropper, jenž nasazuje ELF program zodpovědný za načítání dalšího modulu.

Zdroj: ESET, ESET2