I ricercatori di ESET hanno scoperto il primo bootkit UEFI per Linux. Al momento Bootkitty è solo un “proof-of-concept” e non è stato rilevato nessun attacco, ma la sua esistenza dimostra che questo tipo di malware non è più un’esclusiva dei sistemi Windows. È quindi necessario adottare tutte le misure di sicurezza per rilevare simili minacce informatiche.
Bootkitty è un gattino pericoloso
Il malware è stato recentemente individuato su VirusTotal. Qualcuno ha caricato il file bootkit.efi
che, secondo l’analisi effettuata da ESET, è un bootkit UEFI per Linux, chiamato Bootkitty dagli autori. Il nome viene mostrato in ASCII art sullo schermo durante l’esecuzione.
La natura “proof-of-concept” è testimoniata dal supporto di pochi sistemi Linux, in particolare alcune versioni di Ubuntu. Sfrutta un certificato self-signed, quindi non può aggirare la protezione Secure Boot, se il certificato non è stato installato.
L’obiettivo è infettare il computer durante il processo di avvio, quindi prima del caricamento del sistema operativo e delle soluzioni di sicurezza. Bootkitty avvia il kernel Linux e modifica in memoria le funzioni che effettuano la verifica dell’integrità prima del caricamento del bootloader GRUB. Il bootkit è ancora in sviluppo, in quanto contiene funzioni inutilizzate ed errori di programmazione che causano il crash del sistema.
L’analisi tecnica dettagliata di Bootkitty è stata pubblicata sul sito di ESET. Finora non sono stati rilevati attacchi, ma potrebbero iniziare nelle prossime settimane, quando il malware verrà perfezionato.
Aggiornamento (3/12/2024): il bootkit è stato creato da alcuni studenti coreani come parte del programma Best of Best. Alcuni file sono stati divulgati prima della conferenza di presentazione.