Un Niedawne odkrycie wstrząsnęło sceną cyberbezpieczeństwa: Badacze zidentyfikowali pierwszy bootkit UEFI zaprojektowany specjalnie dla systemów Linux, tzw Kotek przez jego twórców. Odkrycie to oznacza znaczącą ewolucję zagrożeń UEFI, które w przeszłości skupiały się prawie wyłącznie na systemach Windows. Chociaż wygląda na to, że złośliwe oprogramowanie znajduje się w fazie weryfikacji koncepcji, jego istnienie otwiera drzwi dla ewentualnych bardziej wyrafinowanych zagrożeń w przyszłości.
W ostatnich latach Zagrożenia UEFI odnotowały znaczny postęp. Od pierwszych weryfikacji koncepcji w 2012 r. po nowsze przypadki, takie jak ESPecter i BlackLotus, społeczność zajmująca się bezpieczeństwem odnotowała wzrost złożoności tych ataków. Jednak Bootkitty stanowi ważną zmianę, przenosząc uwagę na systemy Linux, w szczególności na niektóre wersje Ubuntu.
Właściwości techniczne Bootkitty
Kotek wyróżnia się zaawansowanymi możliwościami technicznymi. To złośliwe oprogramowanie wykorzystuje metody omijania mechanizmów bezpieczeństwa UEFI Secure Boot poprzez łatanie krytycznych funkcji weryfikacji w pamięci. W ten sposób udaje mu się załadować jądro Linuksa niezależnie od tego, czy funkcja Secure Boot jest włączona, czy nie.
Głównym celem Bootkitty jest m.in wyłącz weryfikację podpisu jądra i wstępnie załaduj nieznane złośliwe pliki binarne ELF Poprzez proces startowych Linuksa. Jednak ze względu na użycie niezoptymalizowanych wzorców kodu i stałych przesunięć, jego skuteczność ogranicza się do niewielkiej liczby konfiguracji i wersji jądra oraz GRUB.
Cechą złośliwego oprogramowania jest jego eksperymentalny charakter: zawiera uszkodzone funkcje, które wydają się być przeznaczone do wewnętrznych testów lub wersji demonstracyjnych. To wraz z jego niemożność działania w systemach z włączoną funkcją Secure Boot po wyjęciu z pudełka, sugeruje, że jest ona wciąż na wczesnym etapie rozwoju.
Podejście modułowe i możliwe powiązania z innymi komponentami
Podczas analizy naukowcy z ESET Zidentyfikowali także niepodpisany moduł jądra o nazwie BCDropper, potencjalnie opracowany przez tych samych autorów Bootkitty. Moduł ten zawiera zaawansowane funkcje takie jak możliwość ukrywania otwartych plików, procesów i portów, Typowe cechy rootkita.
BCDropper Wdraża również plik binarny ELF o nazwie BCObserver, który ładuje inny, jeszcze niezidentyfikowany moduł jądra. Chociaż bezpośredni związek między tymi komponentami a Bootkitty nie został potwierdzony, ich nazwy i zachowania sugerują związek.
Wpływ Bootkitty i środki zapobiegawcze
Mimo że Bootkitty nie stanowi jeszcze realnego zagrożenia W przypadku większości systemów Linux jego istnienie podkreśla potrzebę przygotowania się na możliwe przyszłe zagrożenia. Wskaźniki zaangażowania związane z Bootkitty obejmują:
- Ciągi zmodyfikowane w jądrze: widoczne za pomocą polecenia
uname -v
. - Obecność zmiennej
LD_PRELOAD
w archiwum/proc/1/environ
. - Możliwość ładowania niepodpisanych modułów jądra: nawet w systemach z włączoną funkcją Secure Boot.
- Jądro oznaczone jako „skażone”, co wskazuje na możliwą manipulację.
Aby ograniczyć ryzyko stwarzane przez tego typu złośliwe oprogramowanie, eksperci zalecają pozostawienie włączonej funkcji UEFI Secure Boot, a także upewnienie się, że oprogramowanie sprzętowe, system operacyjny i lista odwołań UEFI są zaktualizowany.
Zmiana paradygmatu zagrożeń UEFI
Bootkitty nie tylko podważa pogląd, że bootkity UEFI są przeznaczone wyłącznie dla systemu Windows, ale także podkreśla rosnąca uwaga cyberprzestępców skierowana na systemy oparte na systemie Linux. Choć jest jeszcze w fazie rozwoju, jego pojawienie się jest sygnałem alarmowym do poprawy bezpieczeństwa w tego typu środowisku.
Odkrycie to wzmacnia potrzebę proaktywnego nadzoru i wdrażania zaawansowane środki bezpieczeństwa w celu ograniczenia potencjalnych zagrożeń, które mogą wykorzystywać luki w zabezpieczeniach na poziomie oprogramowania sprzętowego i procesu rozruchu.