Bootkitty è il primo bootkit UEFI per Linux (update)

Bootkitty è il primo bootkit UEFI per Linux (update)

Bootkitty è il primo bootkit UEFI per Linux che viene eseguito all'avvio per disattivare la funzionalità di verifica delle firme del kernel.
Bootkitty è il primo bootkit UEFI per Linux (update)
Bootkitty è il primo bootkit UEFI per Linux che viene eseguito all'avvio per disattivare la funzionalità di verifica delle firme del kernel.

I ricercatori di ESET hanno scoperto il primo bootkit UEFI per Linux. Al momento Bootkitty è solo un “proof-of-concept” e non è stato rilevato nessun attacco, ma la sua esistenza dimostra che questo tipo di malware non è più un’esclusiva dei sistemi Windows. È quindi necessario adottare tutte le misure di sicurezza per rilevare simili minacce informatiche.

Bootkitty è un gattino pericoloso

Il malware è stato recentemente individuato su VirusTotal. Qualcuno ha caricato il file bootkit.efi che, secondo l’analisi effettuata da ESET, è un bootkit UEFI per Linux, chiamato Bootkitty dagli autori. Il nome viene mostrato in ASCII art sullo schermo durante l’esecuzione.

La natura “proof-of-concept” è testimoniata dal supporto di pochi sistemi Linux, in particolare alcune versioni di Ubuntu. Sfrutta un certificato self-signed, quindi non può aggirare la protezione Secure Boot, se il certificato non è stato installato.

L’obiettivo è infettare il computer durante il processo di avvio, quindi prima del caricamento del sistema operativo e delle soluzioni di sicurezza. Bootkitty avvia il kernel Linux e modifica in memoria le funzioni che effettuano la verifica dell’integrità prima del caricamento del bootloader GRUB. Il bootkit è ancora in sviluppo, in quanto contiene funzioni inutilizzate ed errori di programmazione che causano il crash del sistema.

L’analisi tecnica dettagliata di Bootkitty è stata pubblicata sul sito di ESET. Finora non sono stati rilevati attacchi, ma potrebbero iniziare nelle prossime settimane, quando il malware verrà perfezionato.

Aggiornamento (3/12/2024): il bootkit è stato creato da alcuni studenti coreani come parte del programma Best of Best. Alcuni file sono stati divulgati prima della conferenza di presentazione.

Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il
29 nov 2024
Link copiato negli appunti