Un Zbulimi i fundit ka tronditur skenën e sigurisë kibernetike: Studiuesit kanë identifikuar bootkit-in e parë UEFI të krijuar posaçërisht për sistemet Linux, të quajtur Bootkitty nga krijuesit e saj. Ky zbulim shënon një evolucion të rëndësishëm në kërcënimet UEFI, të cilat historikisht u përqendruan pothuajse ekskluzivisht në sistemet Windows. Edhe pse Malware duket se është në fazën e provës së konceptit, ekzistenca e saj hap derën për kërcënime të mundshme më të sofistikuara në të ardhmen.
Vitet e fundit, Kërcënimet e UEFI kanë parë përparim të dukshëm. Nga provat e para të konceptit në 2012 deri te rastet më të fundit si ESPecter dhe BlackLotus, komuniteti i sigurisë ka parë një rritje në kompleksitetin e këtyre sulmeve. Megjithatë, Bootkitty përfaqëson një ndryshim të rëndësishëm, duke e zhvendosur vëmendjen te sistemet Linux, veçanërisht disa versione të Ubuntu.
Karakteristikat teknike të Bootkitty
Bootkitty shquhet për aftësitë e avancuara teknike. Ky malware përdor metoda për të anashkaluar mekanizmat e sigurisë UEFI Secure Boot duke korrigjuar funksionet kritike të verifikimit në memorie. Në këtë mënyrë, ai arrin të ngarkojë kernelin Linux pavarësisht nëse Secure Boot është i aktivizuar apo jo.
Qëllimi kryesor i Bootkitty përfshin çaktivizoni verifikimin e nënshkrimit të kernelit dhe parangarkesa binare të panjohura keqdashëse ELF Përmes procesit INIT të Linux-it. Megjithatë, për shkak të përdorimit të modeleve të kodit të pa optimizuar dhe kompensimeve fikse, efektiviteti i tij është i kufizuar në një numër të vogël konfigurimesh dhe versionesh të kernelit dhe GRUB.
Një veçori e malware është natyra e tij eksperimentale: përmban funksione të prishura që duket se janë të destinuara për testime të brendshme ose demonstrime. Kjo, së bashku me të pamundësia për të vepruar në sistemet me Secure Boot të aktivizuar jashtë kutisë, sugjeron që është ende në fazat e hershme të zhvillimit.
Një qasje modulare dhe lidhje të mundshme me komponentë të tjerë
Gjatë analizës së tyre, studiuesit nga Eset Ata identifikuan gjithashtu një modul kernel të panënshkruar të quajtur BCDropper, i zhvilluar potencialisht nga të njëjtët autorë të Bootkitty. Ky modul përfshin veçori të avancuara të tilla si aftësia për të fshehur skedarët e hapur, proceset dhe portet, Karakteristikat tipike të një rootkit.
BCdropper Ai vendos gjithashtu një binar ELF të quajtur BCObserver, i cili ngarkon një tjetër modul kernel ende të paidentifikuar. Megjithëse një lidhje e drejtpërdrejtë midis këtyre komponentëve dhe Bootkitty nuk është konfirmuar, emrat dhe sjelljet e tyre sugjerojnë një lidhje.
Ndikimi i këpucëve dhe masat parandaluese
Edhe pse Bootkitty ende nuk përbën një kërcënim real Për shumicën e sistemeve Linux, ekzistenca e tij nënvizon nevojën për t'u përgatitur për kërcënimet e mundshme në të ardhmen. Treguesit e angazhimit të lidhur me Bootkitty përfshijnë:
- Vargjet e modifikuara në kernel: të dukshme me komandën
uname -v
. - Prania e ndryshores
LD_PRELOAD
në arkiv/proc/1/environ
. - Aftësia për të ngarkuar module të kernelit të panënshkruara: edhe në sistemet me aktivizimin e Secure Boot.
- Kerneli shënohet "i ndotur", që tregon për ngatërrim të mundshëm.
Për të zbutur rrezikun e paraqitur nga ky lloj malware, ekspertët rekomandojnë mbajtjen e aktivizuar të UEFI Secure Boot, si dhe të sigurohet që firmware, sistemi operativ dhe lista e revokimeve UEFI janë azhurnuar.
Një ndryshim paradigme në kërcënimet e UEFI
Bootkitty jo vetëm që sfidon perceptimin se bootkits UEFI janë ekskluzive për Windows, por edhe thekson vëmendje në rritje e kriminelëve kibernetikë drejt sistemeve të bazuara në Linux. Edhe pse është ende në një fazë zhvillimi, pamja e tij është një alarm për të përmirësuar sigurinë në këtë lloj mjedisi.
Ky konstatim përforcon nevojën për mbikëqyrje dhe zbatim proaktiv të masat e avancuara të sigurisë për të zbutur kërcënimet e mundshme që mund të shfrytëzojnë dobësitë në nivelin e firmuerit dhe të procesit të nisjes.