Descoberto o primeiro bootkit UEFI direcionado exclusivamente para Linux

Os pesquisadores da ESET relataram o primeiro bootkit UEFI direcionado a sistemas Linux. Anteriormente, os invasores usavam esse tipo de malware apenas para atacar computadores com Windows, escreve BleepingComputer.

Bootkitty (IranuKit) foi carregado na plataforma VirusTotal em 5 de novembro de 2024 como bootkit.efi. De acordo com a ESET, por vários motivos, o Bootkitty é uma prova de conceito que só funciona em algumas versões e configurações do Ubuntu e não é uma ameaça completa usada em ataques reais.

«Quer seja uma prova de conceito ou não, o Bootkitty marca um passo interessante no cenário de ameaças UEFI, desafiando a crença de que os atuais bootkits UEFI são ameaças exclusivas do Windows”, disseram os pesquisadores, acrescentando que o surgimento do bootkit “ressalta a necessidade de ser preparado para potenciais ameaças futuras.”

Fonte da imagem: ESET

De acordo com a ESET, o objetivo principal do bootkit é desabilitar o recurso de verificação de assinatura do kernel e pré-carregar dois binários ELF ainda desconhecidos durante o processo de inicialização do kernel. O Bootkitty usa um certificado autoassinado, portanto, não será executado em sistemas com inicialização segura habilitada, a menos que um certificado controlado pelo invasor já tenha sido conectado.

Quando o computador é inicializado, o bootkit intercepta funções nos protocolos de autenticação de segurança UEFI para ignorar as verificações de integridade do Secure Boot, garantindo que o bootkit seja inicializado independentemente das políticas de segurança. Depois disso, ele substitui as funções de verificação de integridade e assinatura no bootloader GRUB, inclusive para a imagem do kernel. O Bootkitty então sequestra o processo de descompactação do kernel Linux e substitui a função de verificação do módulo do kernel. Por fim, permite registrar em LD_PRELOAD qualquer biblioteca que será carregada primeiro na inicialização do sistema.

Indicadores de comprometimento (IoC) relacionados ao Bootkitty foram publicados no repositório GitHub.