Bootkitty Malware
Výzkumníci v oblasti kybernetické bezpečnosti odhalili to, co je popisováno jako vůbec první bootkit Unified Extensible Firmware Interface (UEFI) speciálně navržený pro systémy Linux. Tento nový vývoj, pojmenovaný Bootkitty, představuje významný posun v oblasti kybernetických hrozeb, které tradičně viděly bootkity UEFI spojené převážně s platformami Windows.
Obsah
Bootkitty: Proof-of-Concept nebo vznikající hrozba?
Předpokládá se, že Bootkitty, odhalená 5. listopadu 2024, je spíše důkazem koncepce (PoC) než aktivně nasazenou hrozbou. Také označovaný jako IranuKit, v současné době neexistuje žádný důkaz, který by naznačoval jeho použití v reálných útocích. Bootkit, vytvořený vývojářem působícím pod aliasem BlackCat, je primárním cílem zakázat ověřování podpisu linuxového jádra a zároveň přednačítat dva dosud neidentifikované binární soubory ELF během procesu inicializace Linuxu. Tento proces, který slouží jako výchozí bod jádra při startu systému, je zásadní pro provozní bezpečnost Linuxu.
Využití UEFI pro Linux: Nová dimenze rizika
Vznik Bootkitty zpochybňuje dlouhodobý názor, že bootkity UEFI jsou exkluzivní pro systémy Windows. Díky tomuto vývoji nyní uživatelé Linuxu čelí potenciálnímu novému způsobu využití. Bootkit využívá k provádění své užitečné zátěže certifikát podepsaný sám sebou, což omezuje její funkčnost na systémech s povoleným UEFI Secure Boot. Stále však může fungovat, pokud se útočníkům podaří nainstalovat podvodný certifikát pod jejich kontrolou.
Kromě obcházení Secure Boot Bootkitty manipuluje s pamětí linuxového jádra během procesu bootování, čímž podkopává kontroly integrity. Před spuštěním GNU GRand Unified Bootloader (GRUB) bootkit zachytí a opraví funkce kritické pro ověření integrity. Tato vícevrstvá strategie útoku demonstruje sofistikované pochopení vnitřních částí systému UEFI a Linux.
Cílení na Secure Boot a GRUB: Pokročilé techniky ve hře
Když je povoleno Secure Boot, Bootkitty upraví ověřovací protokoly UEFI tak, aby obcházely kontroly integrity. Také opravuje legitimní funkce zavaděče GRUB, aby se zabránilo detekci, a dále zajišťuje jeho schopnost spouštět nebezpečné užitečné zatížení. Tyto záplaty se rozšiřují na proces dekomprese linuxového jádra a umožňují bootkitu načíst neautorizované moduly během spouštění.
Aby Bootkitty usnadnil svůj útok, změní proměnnou prostředí LD_PRELOAD. Tato úprava nutí proces inicializace Linuxu načíst dva neznámé sdílené objekty ELF – identifikované jako „/opt/injector.so“ a „/init“, čímž se rozšiřuje dosah bootkitu na systémové operace.
BCDropper a BCObserver: Větší rámec?
Výzkum Bootkitty odhalil potenciálně související nepodepsaný modul jádra s názvem BCDropper. Tento modul je schopen nasadit binární ELF s názvem BCObserver, který zase načte další neidentifikovaný modul jádra při startu systému. Tento doplňkový modul fungující pod stejným pseudonymem BlackCat vykazuje funkce typické pro rootkity, jako je skrývání souborů, procesů a síťových portů. Navzdory těmto pokročilým schopnostem výzkumníci nenašli žádné důkazy spojující tuto aktivitu se skupinou ransomwaru ALPHV/BlackCat.
Důsledky pro zabezpečení UEFI a systémy Linux
Přestože je Bootkitty stále kategorizován jako důkaz koncepce, signalizuje novou kapitolu ve vývoji bootkitů UEFI a rozšiřuje jejich dosah mimo prostředí Windows. Tento vývoj podtrhuje důležitost přípravy na potenciální budoucí hrozby v systémech založených na Linuxu, které byly dlouho považovány za méně zranitelné vůči takovým útokům.
Vzestup Bootkitty také zdůrazňuje potřebu bdělých opatření pro zabezpečení systému, jako je udržování aktualizovaného firmwaru, používání důvěryhodných certifikátů a umožnění bezpečného spouštění všude, kde je to možné. Tím, že Bootkitty demonstruje proveditelnost UEFI bootkitů na Linuxu, slouží jako budíček pro profesionály v oblasti kybernetické bezpečnosti i uživatele Linuxu, aby posílili svou obranu.
