Bootkitty, sta arrivando il primo bootkit UEFI per Linux?

È stato scoperto il primo bootkit UEFI che prende di mira specificamente i sistemi Linux. Finora i bootkit, una forma avanzata di malware che infetta il settore di avvio (boot sector) o il Master Boot Record (MBR) di un computer, quindi l'ambiente prima del sistema operativo, si focalizzavano su Windows. Un bootkit conferisce controllo totale sul sistema, oltre a rendere il malware difficilmente rilevabile e di complessa rimozione.

La nuova minaccia, ribattezzata "Bootkitty", è attualmente un proof-of-concept (PoC) che funziona solo con alcune versioni di Ubuntu e determinate configurazioni; non rappresenta per ora una minaccia impiegata in attacchi reali.

Bootkitty è stato scoperto dai ricercatori di ESET analizzando un file sospetto (bootkit.efi) caricato su VirusTotal nel novembre 2024. Dopo l'analisi, ESET ha confermato che si tratta del primo caso di bootkit Linux UEFI in grado di aggirare la verifica della firma del kernel e di precaricare componenti dannosi durante la fase di avvio del sistema.

Bootkitty si basa su un certificato autofirmato, quindi non viene eseguito su sistemi con Secure Boot abilitato - a meno che i certificati degli aggressori non siano stati installati. Inoltre, gli offset codificati e la corrispondenza semplicistica dei byte-pattern lo rendono utilizzabile solo su versioni specifiche di GRUB e del kernel, quindi non è adatto a una distribuzione capillare.

ESET sostiene che il malware contiene molte funzioni inutilizzate e gestisce male la compatibilità con la versione del kernel, causando spesso crash di sistema. La natura buggata del malware, e il fatto che la telemetria di ESET non mostri alcun segno di Bootkitty sui sistemi in uso, portano a credere si tratti di un semplice PoC non rifinito.

Dall'analisi è emerso che durante l'avvio, Bootkitty aggancia i protocolli di autenticazione di sicurezza UEFI (EFI_SECURITY2_ARCH_PROTOCOL e EFI_SECURITY_ARCH_PROTOCOL) per bypassare i controlli di verifica dell'integrità di Secure Boot, garantendo il caricamento del bootkit indipendentemente dai criteri di sicurezza.

Poi, aggancia varie funzioni di GRUB come "start_image" e "grub_verifiers_open" per manipolare i controlli di integrità del bootloader per i binari, compreso il kernel Linux, disattivando la verifica della firma.

Bootkitty intercetta il processo di decompressione del kernel Linux e aggancia la funzione "module_sig_check". Questo permette di avere un esito positivo durante i controlli dei moduli del kernel, consentendo al malware di caricare moduli dannosi. Inoltre, sostituisce la prima variabile ambientale con "LD_PRELOAD=/opt/injector.so", in modo che la libreria dannosa venga iniettata nei processi all'avvio del sistema.

L'intero processo lascia dietro di sé diversi artefatti, alcuni voluti e altri no, spiega ESET, il che è un'altra indicazione della mancanza di raffinatezza del malware. In conclusione: Bootkitty esiste, ed è altamente modulare, il che fa pensare con il tempo arriveranno altre funzionalità, ma al momento non è una minaccia.

"Che si tratti o meno di una prova di fattibilità, Bootkitty segna un interessante passo avanti nel panorama delle minacce UEFI, sfatando la convinzione che i moderni bootkit UEFI siano minacce esclusive di Windows", hanno affermato i ricercatori. "Sebbene la versione attuale di VirusTotal non rappresenti, al momento, una minaccia reale per la maggior parte dei sistemi Linux, sottolinea la necessità di essere preparati per potenziali minacce future".