Malware di Bootkitty
I ricercatori di sicurezza informatica hanno svelato quello che viene descritto come il primo bootkit Unified Extensible Firmware Interface (UEFI) in assoluto, specificamente progettato per colpire i sistemi Linux. Questo nuovo sviluppo, denominato Bootkitty, rappresenta un cambiamento significativo nel panorama delle minacce informatiche, che tradizionalmente ha visto i bootkit UEFI prevalentemente associati alle piattaforme Windows.
Sommario
Bootkitty: prova di fattibilità o minaccia emergente?
Scoperto il 5 novembre 2024, Bootkitty è ritenuto un Proof-of-Concept (PoC) piuttosto che una minaccia attivamente implementata. Noto anche come IranuKit, non ci sono attualmente prove che suggeriscano il suo utilizzo in attacchi nel mondo reale. Creato da uno sviluppatore che opera sotto l'alias BlackCat, lo scopo principale del bootkit è disabilitare la verifica della firma del kernel Linux durante il precaricamento di due binari ELF non ancora identificati durante il processo di inizializzazione di Linux. Questo processo, che funge da punto di partenza del kernel durante l'avvio del sistema, è fondamentale per la sicurezza operativa di Linux.
Sfruttare UEFI per Linux: una nuova dimensione del rischio
L'emergere di Bootkitty sfida la percezione di lunga data che i bootkit UEFI siano esclusivi dei sistemi Windows. Con questo sviluppo, gli utenti Linux ora affrontano una potenziale nuova via di sfruttamento. Il bootkit sfrutta un certificato autofirmato per eseguire il suo payload, il che limita la sua funzionalità sui sistemi con UEFI Secure Boot abilitato. Tuttavia, potrebbe comunque funzionare se gli aggressori riescono a installare un certificato fraudolento sotto il loro controllo.
Oltre a bypassare Secure Boot, Bootkitty manipola la memoria del kernel Linux durante il processo di avvio, compromettendo i controlli di integrità. Prima che venga eseguito GNU GRand Unified Bootloader (GRUB), il bootkit intercetta e patcha le funzioni critiche per la verifica dell'integrità. Questa strategia di attacco multistrato dimostra una sofisticata comprensione degli interni del sistema UEFI e Linux.
Targeting Secure Boot e GRUB: tecniche avanzate in gioco
Quando Secure Boot è abilitato, Bootkitty modifica i protocolli di autenticazione UEFI per bypassare i controlli di integrità. Inoltre, applica patch alle funzioni legittime del bootloader GRUB per evitare il rilevamento, assicurando ulteriormente la sua capacità di eseguire payload non sicuri. Queste patch si estendono al processo di decompressione del kernel Linux, consentendo al bootkit di caricare moduli non autorizzati durante l'avvio.
Per facilitare l'attacco, Bootkitty modifica la variabile di ambiente LD_PRELOAD. Questa modifica forza il processo di inizializzazione di Linux a caricare due oggetti condivisi ELF sconosciuti, identificati come '/opt/injector.so' e '/init', estendendo così la portata del bootkit nelle operazioni di sistema.
BCDropper e BCObserver: un framework più ampio?
La ricerca su Bootkitty ha scoperto un modulo kernel potenzialmente correlato non firmato denominato BCDropper. Questo modulo è in grado di distribuire un binario ELF denominato BCObserver, che, a sua volta, carica un altro modulo kernel non identificato all'avvio del sistema. Operando sotto lo stesso pseudonimo BlackCat, questo modulo aggiuntivo esibisce funzionalità tipiche dei rootkit, come nascondere file, processi e porte di rete. Nonostante queste capacità avanzate, i ricercatori non hanno trovato prove che colleghino questa attività al gruppo ransomware ALPHV/BlackCat.
Implicazioni per la sicurezza UEFI e i sistemi Linux
Sebbene ancora classificato come proof-of-concept, Bootkitty segna un nuovo capitolo nell'evoluzione dei bootkit UEFI, estendendone la portata oltre gli ambienti Windows. Questo sviluppo sottolinea l'importanza di prepararsi a potenziali minacce future nei sistemi basati su Linux, che sono stati a lungo considerati meno vulnerabili a tali attacchi.
L'ascesa di Bootkitty evidenzia anche la necessità di misure di sicurezza di sistema vigili, come il mantenimento di firmware aggiornati, l'utilizzo di certificati attendibili e l'abilitazione di Secure Boot ove possibile. Dimostrando la fattibilità dei bootkit UEFI su Linux, Bootkitty funge da campanello d'allarme sia per i professionisti della sicurezza informatica che per gli utenti Linux per rafforzare le proprie difese.
