Programari maliciós Bootkitty
Els investigadors de ciberseguretat han presentat el que es descriu com el primer kit d'arrencada Unified Extensible Firmware Interface (UEFI) dissenyat específicament per orientar sistemes Linux. Aquest nou desenvolupament, anomenat Bootkitty, representa un canvi significatiu en el panorama de les amenaces cibernètiques, que tradicionalment ha vist els bootkits UEFI associats predominantment a les plataformes Windows.
Taula de continguts
Bootkitty: prova de concepte o amenaça emergent?
Descoberta el 5 de novembre de 2024, es creu que Bootkitty és una prova de concepte (PoC) en lloc d'una amenaça desplegada activament. També conegut com IranuKit, actualment no hi ha proves que suggereixin el seu ús en atacs del món real. Creat per un desenvolupador que opera sota l'àlies BlackCat, l'objectiu principal del bootkit és desactivar la verificació de la signatura del nucli de Linux mentre es precarreguen dos binaris ELF encara no identificats durant el procés d'inicialització de Linux. Aquest procés, que serveix com a punt de partida del nucli durant l'inici del sistema, és crucial per a la seguretat operativa de Linux.
Explotant UEFI per a Linux: una nova dimensió de risc
L'aparició de Bootkitty desafia la percepció de llarga data que els bootkits UEFI són exclusius dels sistemes Windows. Amb aquest desenvolupament, els usuaris de Linux ara s'enfronten a una nova via potencial d'explotació. El kit d'arrencada aprofita un certificat autofirmat per executar la seva càrrega útil, cosa que limita la seva funcionalitat en sistemes amb l'arrencada segura UEFI habilitat. Tanmateix, encara podria funcionar si els atacants aconsegueixen instal·lar un certificat fraudulent sota el seu control.
Més enllà de passar per alt l'arrencada segura, Bootkitty manipula la memòria del nucli de Linux durant el procés d'arrencada, soscavant les comprovacions d'integritat. Abans que s'executi el gestor d'arrencada unificat GNU GRand (GRUB), el kit d'arrencada intercepta i apega les funcions crítiques per a la verificació de la integritat. Aquesta estratègia d'atac de diverses capes demostra una comprensió sofisticada dels sistemes interns UEFI i Linux.
Orientació a l'arrencada segura i GRUB: tècniques avançades en joc
Quan l'arrencada segura està habilitada, Bootkitty modifica els protocols d'autenticació UEFI per evitar les comprovacions d'integritat. També apega les funcions legítimes del carregador d'arrencada de GRUB per evitar la detecció, garantint encara més la seva capacitat per executar càrregues útils no segures. Aquests pedaços s'estenen al procés de descompressió del nucli de Linux, permetent que el bootkit carregui mòduls no autoritzats durant l'inici.
Per facilitar el seu atac, Bootkitty modifica la variable d'entorn LD_PRELOAD. Aquest ajust obliga el procés d'inicialització de Linux a carregar dos objectes compartits ELF desconeguts, identificats com a '/opt/injector.so' i '/init', ampliant així l'abast del bootkit a les operacions del sistema.
BCDropper i BCObserver: un marc més gran?
La investigació sobre Bootkitty ha descobert un mòdul del nucli sense signar potencialment relacionat anomenat BCDropper. Aquest mòdul és capaç de desplegar un binari ELF anomenat BCObserver, que, al seu torn, carrega un altre mòdul del nucli no identificat a l'inici del sistema. Funcionant sota el mateix pseudònim de BlackCat, aquest mòdul addicional presenta funcionalitats típiques dels rootkits, com ara amagar fitxers, processos i ports de xarxa. Malgrat aquestes capacitats avançades, els investigadors no han trobat cap evidència que vinculi aquesta activitat amb el grup de ransomware ALPHV/BlackCat.
Implicacions per a la seguretat UEFI i els sistemes Linux
Tot i que encara es classifica com a prova de concepte, Bootkitty assenyala un nou capítol en l'evolució dels kits d'arrencada UEFI, ampliant el seu abast més enllà dels entorns Windows. Aquest desenvolupament subratlla la importància de preparar-se per a possibles amenaces futures en sistemes basats en Linux, que durant molt de temps s'han considerat menys vulnerables a aquests atacs.
L'augment de Bootkitty també destaca la necessitat de mesures de seguretat del sistema vigilants, com ara mantenir el microprogramari actualitzat, utilitzar certificats de confiança i habilitar l'arrencada segura sempre que sigui possible. En demostrar la viabilitat dels kits d'arrencada UEFI a Linux, Bootkitty serveix com a crida d'atenció tant per als professionals de la ciberseguretat com per als usuaris de Linux per enfortir les seves defenses.
