Una recente scoperta ha scosso il panorama della cibersecurity: i ricercatori hanno identificato il primo bootkit UEFI specificamente progettato per sistemi Linux, denominato Bootkitty dai suoi creatoridai suoi creatori che si fanno chiamare BlackCat. Questo ritrovamento segna un’evoluzione significativa nelle minacce UEFI, che storicamente si sono concentrate quasi esclusivamente sui sistemi Windows. Sebbene il malware sembri essere ancora in una fase proof-of-concept (PoC) quindi sperimentale, la sua esistenza apre la porta a potenziali minacce più sofisticate in futuro.
Tracciato anche come IranuKit, è stato caricato sulla piattaforma VirusTotal il 5 novembre 2024.
L’Evoluzione delle Minacce UEFI
Negli ultimi anni, le minacce UEFI (Unified Extensible Firmware Interface) hanno fatto notevoli progressi. Dalle prime prove di concetto nel 2012 a casi più recenti come ESPecter e BlackLotus, la comunità della sicurezza ha osservato un aumento della complessità di questi attacchi. UEFI è una specifica per il firmware dei computer che sostituisce il tradizionale e storico BIOS, gestendo il processo di avvio e fornendo funzionalità di sicurezza avanzate come il Secure Boot, che impedisce il caricamento di software non autorizzato. Tuttavia, Bootkitty rappresenta un cambiamento importante, spostando l’attenzione sui sistemi Linux, in particolare su alcune versioni di Ubuntu.
Caratteristiche Tecniche di Bootkitty
Bootkitty si distingue per le sue capacità tecniche avanzate. Questo malware utilizza metodi che consentono di eludere i meccanismi di sicurezza del Secure Boot UEFI, patchando funzioni critiche di verifica in memoria. In questo modo, riesce a caricare il kernel di Linux indipendentemente dal fatto che Secure Boot sia abilitato o meno.
Il principale obiettivo di Bootkitty è disattivare la verifica delle firme del kernel Linux e precaricare binari ELF (Executable and Linkable Format) dannosi sconosciuti attraverso il processo init di Linux, che è il primo processo eseguito dal kernel durante l’avvio del sistema e gestisce l’avvio di tutti gli altri processi. In questo modo, Bootkitty può caricare software malevolo prima che il sistema operativo completi il suo avvio.
Tuttavia, a causa dell’uso di pattern di codice non ottimizzati e offset fissi, la sua efficacia è limitata a un numero ristretto di configurazioni hardware e versioni del kernel e del bootloader GRUB.
Inoltre, Bootkitty sfrutta vulnerabilità nel processo di avvio UEFI per bypassare le verifiche di integrità imposte da Secure Boot, una funzionalità progettata per garantire che solo software autorizzato venga eseguito all’avvio. Questo consente al malware di eludere le misure di sicurezza e caricare moduli non firmati, aumentando il rischio per i sistemi vulnerabili.
Una peculiarità del malware è il suo carattere sperimentale: il codice contiene funzioni inutilizzate che sembrano destinate a test interni o dimostrazioni. Questo, insieme alla sua incapacità di operare su sistemi con Secure Boot abilitato di fabbrica, suggerisce che si trovi ancora nelle fasi iniziali dello sviluppo.
Un Approccio Modulare e Voci Collegate
Durante l’analisi, i ricercatori di ESET hanno identificato anche un modulo del kernel Linux non firmato chiamato BCDropper, potenzialmente sviluppato dagli stessi autori di Bootkitty. Questo modulo include funzionalità avanzate come la capacità di nascondere file, processi e porte aperte, caratteristiche tipiche di un rootkit.
BCDropper inoltre distribuisce un binario ELF chiamato BCObserver, che carica un altro modulo del kernel Linux ancora non identificato. Sebbene non sia stata confermata una relazione diretta tra questi componenti e Bootkitty, i loro nomi e comportamenti suggeriscono una connessione.
Impatto di Bootkitty e Misure Preventive
Anche se Bootkitty non rappresenta attualmente una minaccia concreta per la maggior parte dei sistemi GNU/Linux, la sua esistenza sottolinea la necessità di prepararsi a potenziali minacce future. Tra gli indicatori di compromissione associati a Bootkitty ci sono:
- Stringhe modificate nel kernel: visibili con il comando
uname -v
. - Presenza della variabile LD_PRELOAD nel file
/proc/1/environ
. - Capacità di caricare moduli del kernel Linux non firmati: anche su sistemi con Secure Boot attivato.
- Kernel Linux contrassegnato come “tainted†(indica che il kernel ha subito modifiche o si trova in uno stato non standard), il che indica una possibile manipolazione.
Per mitigare il rischio rappresentato da questo tipo di malware, gli esperti raccomandano di mantenere attivato il Secure Boot UEFI e assicurarsi che il firmware, il sistema operativo e la lista di revoca UEFI siano aggiornati.
Un Cambiamento nel Paradigma delle Minacce UEFI
Bootkitty sfida non solo la percezione che i bootkit UEFI siano esclusivi dei sistemi Windows, ma evidenzia anche l’attenzione crescente dei criminali informatici verso i sistemi basati su GNU/Linux. Sebbene sia ancora in fase di sviluppo, la sua apparizione è un campanello d’allarme per migliorare la sicurezza in questi ambienti.
Questa scoperta rafforza l’importanza della vigilanza proattiva e dell’implementazione di misure di sicurezza avanzate per mitigare le minacce potenziali che potrebbero sfruttare vulnerabilità a livello di firmware e nel processo di avvio.
Fonte: https://www.bleepingcomputer.com/news/security/researchers-discover-bootkitty-first-uefi-bootkit-malware-for-linux/
Fonte: https://www.techradar.com/pro/security/the-first-uefi-bootkit-malware-for-linux-has-been-detected-so-users-beware
Fonte: https://thehackernews.com/2024/11/researchers-discover-bootkitty-first.html?m=1
Fonte: https://www.theregister.com/2024/11/27/firstever_uefi_bootkit_for_linux/
Fonte: https://ubunlog.com/descubren-bootkitty-primer-bootkit-uefi-disenado-para-linux/
Source: Read More