برنامج Bootkitty الخبيث
كشف باحثو الأمن السيبراني عن ما يوصف بأنه أول برنامج تمهيدي لواجهة البرامج الثابتة القابلة للتوسعة الموحدة (UEFI) مصمم خصيصًا لاستهداف أنظمة Linux. يمثل هذا التطور الجديد، المسمى Bootkitty، تحولًا كبيرًا في مشهد التهديدات السيبرانية، والذي كان تقليديًا يرتبط بشكل أساسي ببرامج التمهيد UEFI بمنصات Windows.
جدول المحتويات
Bootkitty: دليل على صحة المفهوم أم تهديد ناشئ؟
تم الكشف عن Bootkitty في 5 نوفمبر 2024، ويُعتقد أنه عبارة عن Proof-of-Concept (PoC) وليس تهديدًا نشطًا تم نشره. يُشار إليه أيضًا باسم IranuKit، ولا يوجد حاليًا أي دليل يشير إلى استخدامه في هجمات في العالم الحقيقي. تم إنشاء Bootkit بواسطة مطور يعمل تحت الاسم المستعار BlackCat، والهدف الأساسي منه هو تعطيل التحقق من توقيع نواة Linux أثناء تحميل ملفين ثنائيين ELF غير محددين حتى الآن أثناء عملية تهيئة Linux. هذه العملية، التي تعمل كنقطة بداية للنواة أثناء بدء تشغيل النظام، ضرورية للأمان التشغيلي لنظام Linux.
استغلال UEFI لنظام Linux: بُعد جديد من المخاطر
يتحدى ظهور Bootkitty الاعتقاد السائد منذ فترة طويلة بأن أدوات التمهيد UEFI مخصصة حصريًا لأنظمة Windows. ومع هذا التطور، يواجه مستخدمو Linux الآن طريقًا جديدًا محتملًا للاستغلال. يستفيد Bootkit من شهادة ذاتية التوقيع لتنفيذ حمولته، مما يحد من وظائفه على الأنظمة التي تم تمكين UEFI Secure Boot فيها. ومع ذلك، لا يزال بإمكانه العمل إذا تمكن المهاجمون من تثبيت شهادة احتيالية تحت سيطرتهم.
بالإضافة إلى تجاوز Secure Boot، يتلاعب Bootkitty بذاكرة نواة Linux أثناء عملية التمهيد، مما يقوض عمليات التحقق من السلامة. قبل تنفيذ GNU GRand Unified Bootloader (GRUB)، يعترض Bootkit ويصحح الوظائف المهمة للتحقق من السلامة. توضح استراتيجية الهجوم متعددة الطبقات هذه فهمًا متطورًا لـ UEFI وداخليات نظام Linux.
استهداف التمهيد الآمن وGRUB: تقنيات متقدمة قيد الاستخدام
عند تمكين Secure Boot، يقوم Bootkitty بتعديل بروتوكولات مصادقة UEFI لتجاوز عمليات التحقق من السلامة. كما يقوم أيضًا بتصحيح وظائف أداة تحميل التشغيل GRUB المشروعة لتجنب الكشف، مما يضمن بشكل أكبر قدرته على تنفيذ حمولات غير آمنة. تمتد هذه التصحيحات إلى عملية فك ضغط نواة Linux، مما يتيح لـ Bootkit تحميل وحدات غير مصرح بها أثناء بدء التشغيل.
لتسهيل هجومه، يقوم Bootkitty بتعديل متغير البيئة LD_PRELOAD. يجبر هذا التعديل عملية تهيئة Linux على تحميل كائنين مشتركين غير معروفين من نوع ELF - تم تحديدهما باسم '/opt/injector.so' و'/init' - وبالتالي توسيع نطاق bootkit في عمليات النظام.
BCDropper وBCObserver: إطار عمل أكبر؟
وقد كشف البحث في Bootkitty عن وحدة نواة غير موقعة ذات صلة محتملة تسمى BCDropper. هذه الوحدة قادرة على نشر ملف ثنائي ELF يسمى BCObserver، والذي يقوم بدوره بتحميل وحدة نواة أخرى مجهولة الهوية عند بدء تشغيل النظام. تعمل هذه الوحدة الإضافية تحت نفس الاسم المستعار BlackCat، وتعرض وظائف نموذجية لبرامج rootkits، مثل إخفاء الملفات والعمليات ومنافذ الشبكة. وعلى الرغم من هذه القدرات المتقدمة، لم يجد الباحثون أي دليل يربط هذا النشاط بمجموعة برامج الفدية ALPHV/BlackCat.
التأثيرات على أمان UEFI وأنظمة Linux
على الرغم من تصنيفها كإثبات مفهوم، فإن Bootkitty تشير إلى فصل جديد في تطور أدوات التمهيد UEFI، مما يوسع نطاقها إلى ما هو أبعد من بيئات Windows. ويؤكد هذا التطور على أهمية الاستعداد للتهديدات المستقبلية المحتملة في الأنظمة المستندة إلى Linux، والتي طالما اعتبرت أقل عرضة لمثل هذه الهجمات.
كما يسلط صعود Bootkitty الضوء على الحاجة إلى تدابير أمنية يقظة للنظام، مثل الحفاظ على تحديث البرامج الثابتة، واستخدام الشهادات الموثوقة، وتمكين التمهيد الآمن حيثما أمكن ذلك. ومن خلال إظهار جدوى أدوات التمهيد UEFI على Linux، يعمل Bootkitty بمثابة جرس إنذار لكل من محترفي الأمن السيبراني ومستخدمي Linux لتعزيز دفاعاتهم.
