Securitatea cibernetică devine din ce în ce mai complexă, cercetătorii de la ESET au descoperit o nouă amenințare: Bootkitty, primul bootkit UEFI conceput pentru sistemele Linux. Această descoperire marchează o schimbare semnificativă în peisajul amenințărilor UEFI, care până acum au vizat exclusiv sistemele Windows.
Ce este Bootkitty?
Bootkitty este un bootkit UEFI, un tip de malware care se încarcă înaintea sistemului de operare și poate controla procesul de bootare. Acesta a fost încărcat pe VirusTotal în noiembrie 2024 și este semnat cu un certificat autosemnat, ceea ce înseamnă că nu poate rula pe sisteme cu UEFI Secure Boot activat decât dacă certificatele atacatorilor au fost instalate.
Funcționalități și Impact
Scopul principal al Bootkitty este de a dezactiva funcția de verificare a semnăturii nucleului și de a preîncărca două binare ELF necunoscute prin procesul de inițializare Linux. Acesta conține artefacte care sugerează că ar putea fi o dovadă a conceptului mai degrabă decât un malware utilizat activ.
Bootkitty este capabil să pornească kernel-ul Linux fără probleme, indiferent dacă UEFI Secure Boot este activat sau nu, deoarece corectează, în memorie, funcțiile necesare responsabile pentru verificarea integrității înainte de executarea GRUB.
Semnificația Descoperirii
Această descoperire subliniază faptul că amenințările UEFI nu se mai limitează doar la sistemele Windows. Este un pas important în peisajul amenințărilor cibernetice, demonstrând că și sistemele Linux pot fi ținta unor atacuri sofisticate la nivel de firmware.
Concluzie
Bootkitty reprezintă o dovadă clară a evoluției amenințărilor cibernetice și a necesității de a fi pregătiți pentru potențiale atacuri viitoare. Pentru a vă proteja sistemele Linux, asigurați-vă că UEFI Secure Boot este activat, firmware-ul sistemului și sistemul de operare sunt actualizate, iar lista de revocări UEFI este la zi.
