Oprogramowanie szpiegujące Bootkitty
Badacze cyberbezpieczeństwa ujawnili to, co jest opisywane jako pierwszy w historii bootkit Unified Extensible Firmware Interface (UEFI) zaprojektowany specjalnie do atakowania systemów Linux. Ten nowy wynalazek, nazwany Bootkitty, oznacza znaczącą zmianę w krajobrazie cyberzagrożeń, w którym tradycyjnie bootkity UEFI były kojarzone głównie z platformami Windows.
Spis treści
Bootkitty: dowód koncepcji czy nowe zagrożenie?
Odkryty 5 listopada 2024 r. Bootkitty jest uważany za Proof-of-Concept (PoC), a nie aktywnie wdrażane zagrożenie. Znany również jako IranuKit, obecnie nie ma dowodów sugerujących jego użycie w rzeczywistych atakach. Głównym celem bootkita, stworzonego przez programistę działającego pod pseudonimem BlackCat, jest wyłączenie weryfikacji podpisu jądra Linuksa podczas wstępnego ładowania dwóch niezidentyfikowanych jeszcze plików binarnych ELF podczas procesu inicjalizacji Linuksa. Ten proces, który służy jako punkt startowy jądra podczas uruchamiania systemu, ma kluczowe znaczenie dla bezpieczeństwa operacyjnego Linuksa.
Wykorzystanie UEFI dla systemu Linux: nowy wymiar ryzyka
Pojawienie się Bootkitty podważa długoletnie przekonanie, że bootkity UEFI są wyłączną cechą systemów Windows. Dzięki temu rozwojowi użytkownicy Linuksa stają teraz przed potencjalną nową drogą eksploatacji. Bootkit wykorzystuje certyfikat podpisany przez siebie, aby wykonać swój ładunek, co ogranicza jego funkcjonalność w systemach z włączonym UEFI Secure Boot. Jednak nadal może działać, jeśli atakujący zdołają zainstalować pod swoją kontrolą fałszywy certyfikat.
Poza ominięciem Secure Boot, Bootkitty manipuluje pamięcią jądra Linux podczas procesu rozruchu, podważając kontrole integralności. Przed uruchomieniem GNU GRand Unified Bootloader (GRUB) bootkit przechwytuje i łata funkcje krytyczne dla weryfikacji integralności. Ta wielowarstwowa strategia ataku demonstruje wyrafinowane zrozumienie UEFI i wewnętrznych mechanizmów systemu Linux.
Celowanie w Secure Boot i GRUB: Zaawansowane techniki w grze
Gdy włączony jest Secure Boot, Bootkitty modyfikuje protokoły uwierzytelniania UEFI, aby ominąć kontrole integralności. Łata również legalne funkcje bootloadera GRUB, aby uniknąć wykrycia, co dodatkowo zapewnia jego zdolność do wykonywania niebezpiecznych ładunków. Te poprawki rozszerzają proces dekompresji jądra Linux, umożliwiając bootkitowi ładowanie nieautoryzowanych modułów podczas uruchamiania.
Aby ułatwić atak, Bootkitty zmienia zmienną środowiskową LD_PRELOAD. Ta zmiana zmusza proces inicjalizacji Linuksa do załadowania dwóch nieznanych obiektów współdzielonych ELF — zidentyfikowanych jako '/opt/injector.so' i '/init' — tym samym rozszerzając zasięg bootkita na operacje systemowe.
BCDropper i BCObserver: większa platforma?
Badania Bootkitty ujawniły potencjalnie powiązany niepodpisany moduł jądra o nazwie BCDropper. Ten moduł jest w stanie wdrożyć plik binarny ELF o nazwie BCObserver, który z kolei ładuje inny niezidentyfikowany moduł jądra podczas uruchamiania systemu. Działając pod tym samym pseudonimem BlackCat, ten dodatkowy moduł wykazuje funkcjonalności typowe dla rootkitów, takie jak ukrywanie plików, procesów i portów sieciowych. Pomimo tych zaawansowanych możliwości badacze nie znaleźli żadnych dowodów łączących tę aktywność z grupą ransomware ALPHV/BlackCat.
Konsekwencje dla bezpieczeństwa UEFI i systemów Linux
Choć nadal klasyfikowany jako proof-of-concept, Bootkitty sygnalizuje nowy rozdział w ewolucji bootkitów UEFI, rozszerzając ich zasięg poza środowiska Windows. Ten rozwój podkreśla znaczenie przygotowania się na potencjalne przyszłe zagrożenia w systemach opartych na Linuksie, które od dawna uważano za mniej podatne na takie ataki.
Rozwój Bootkitty podkreśla również potrzebę czujnych środków bezpieczeństwa systemu, takich jak utrzymywanie aktualnego oprogramowania układowego, korzystanie z zaufanych certyfikatów i włączanie Secure Boot, gdziekolwiek jest to możliwe. Demonstrując wykonalność bootkitów UEFI w systemie Linux, Bootkitty służy jako sygnał ostrzegawczy zarówno dla profesjonalistów cyberbezpieczeństwa, jak i użytkowników Linuksa, aby wzmocnili swoje zabezpieczenia.
