Společnost ESET objevila první bootkit pro UEFI (Unified Extensible Firmware Interface) určený speciálně pro linuxové systémy s názvem Bootkitty. Umožňuje útočníkům vypnout funkci ověřování podpisu jádra a při bootu pak zavést dva binární soubory ELF prostřednictvím init systému. Jejich prostřednictvím je pak možné do jádra přidat vlastní modul a tím zcela ovládnout systém.
Výzkumníci tvrdí, že objevený malware zřejmě představuje zkušební verzi pro ověření funkčnosti. Tato varianta zřejmě nebyla nikdy použita k útokům ve skutečném prostředí. Naše prvotní analýza potvrdila, že se jedná o UEFI bootkit, který jeho tvůrci pojmenovali Bootkitty a překvapivě se jedná o první UEFI bootkit zaměřený na Linux, konkrétně na několik verzí Ubuntu,
uvádí se v oznámení, které zveřejnila společnost ESET. Bootkitty je podepsán self-signed certifikátem, není tedy schopen běžet na systémech s povoleným UEFI Secure Boot, pokud nemají v počítači útočníci nainstalované vlastní certifikáty.
Bootkitty při svém útoku podporuje omezený počet systémů kvůli pevně zakódovaným vzorům pro modifikaci funkcí a pevným offsetům pro záplatování dekomprimovaných jader Linuxu. Vedle Bootkitty objevili výzkumníci také nepodepsaný jaderný modul nazvaný BCDropper, který pravděpodobně vyvinul stejný autor. Obsahuje odkazy na BlackCat a nepoužívané funkce pro skrývání souborů, což se shoduje s chováním Bootkitty.
Chcete-li své linuxové systémy před podobnými hrozbami ochránit, odborníci doporučují zapnout UEFI Secure Boot a aktualizovat firmware počítače, operační systém a revokační seznamy pro UEFI.
ČLÁNKY DO MAILU