Una nuova scoperta in ambito cybersecurity è stata fatta e condivisa dai ricercatori di ESET, leader europeo globale nel mercato della sicurezza informatica. Si tratta del primo UEFI bootkit progettato per sistemi Linux, denominato Bootkitty dai suoi creatori. ESET ritiene che questo bootkit sia probabilmente un proof of concept iniziale e, in base alla telemetria, non sia stato ancora distribuito attivamente. Tuttavia, rappresenta la prima evidenza del fatto che i bootkit UEFI non siano più limitati ai sistemi Windows. L’obiettivo principale del bootkit è disabilitare la funzione di verifica della firma del kernel e precaricare due binari ELF ancora sconosciuti tramite il processo “init” di Linux, ossia il primo processo eseguito dal kernel durante l’avvio del sistema.
Cosa fa Bootkitty?
L’applicazione UEFI precedentemente sconosciuta, denominata bootkit.efi, è stata caricata su VirusTotal. Bootkitty è firmato con un certificato auto-generato, che lo rende incompatibile con sistemi che abbiano UEFI Secure Boot abilitato di default. Tuttavia, è progettato per avviare il kernel Linux senza problemi, indipendentemente dallo stato di UEFI Secure Boot, poiché modifica in memoria le funzioni necessarie alla verifica dell’integrità.
Il bootkit è un rootkit avanzato, capace di sostituire il boot loader e alterare il kernel prima della sua esecuzione. Bootkitty consente all’attaccante di ottenere il pieno controllo della macchina compromessa, inserendosi nel processo di avvio ed eseguendo malware prima che il sistema operativo venga avviato.
Nel corso dell’analisi, ESET ha individuato un modulo kernel non firmato, probabilmente correlato, che è stato denominato BCDropper. Gli elementi raccolti suggeriscono che potrebbe essere stato sviluppato dagli stessi autori di Bootkitty. Questo modulo distribuisce un binario ELF responsabile del caricamento di un altro modulo kernel ancora non identificato al momento dell’analisi.
Durante i test condotti nell’ambiente di prova di ESET, i ricercatori hanno osservato che il kernel risultava marcato come “tainted” (corrotto), cosa che non accadeva in assenza del bootkit Bootkitty. Un altro metodo per verificare la presenza del bootkit su un sistema con UEFI Secure Boot abilitato è tentare di caricare un modulo kernel non firmato durante l’esecuzione. Se il bootkit è presente, il modulo verrà caricato; altrimenti, il kernel si rifiuterà di farlo. Una semplice soluzione per rimuovere il bootkit, se questo è stato distribuito come /EFI/ubuntu/grubx64.efi, consiste nello spostare il file legittimo /EFI/ubuntu/grubx64-real.efi nella sua posizione originale, ovvero /EFI/ubuntu/grubx64.efi.
Negli ultimi anni, il panorama delle minacce UEFI, in particolare dei bootkit come Bootkitty, si è evoluto significativamente. Tutto è iniziato con il primo proof of concept di un bootkit UEFI descritto da Andrea Allievi nel 2012, che ha dimostrato la possibilità di distribuire bootkit su sistemi Windows moderni basati su UEFI, seguito da molti altri PoC (EfiGuard, Boot Backdoor, UEFI-bootkit). Ci sono voluti diversi anni per osservare i primi due bootkit UEFI reali scoperti (uno dei quali, ESPecter, è stato individuato da ESET nel 2021) e altri due anni prima che apparisse il famigerato BlackLotus – il primo bootkit UEFI capace di aggirare UEFI Secure Boot su sistemi aggiornati, scoperto da ESET nel 2023. Un elemento comune tra questi bootkit era il loro targeting esclusivo verso sistemi Windows.
Dichiarazioni
“Bootkitty contiene numerosi elementi che suggeriscono che, allo stato dell’arte, si tratti di un proof of concept e non di una minaccia già diffusa. Tuttavia, anche se la versione presente su VirusTotal non rappresenta al momento una minaccia reale per la maggior parte dei sistemi Linux, poiché può colpire solo alcune versioni di Ubuntu, sottolinea l’importanza di prepararsi per potenziali minacce future”, spiega Martin Smolár, ricercatore di ESET che ha analizzato Bootkitty. “Per proteggere i sistemi Linux da queste minacce, è necessario assicurarsi che UEFI Secure Boot sia abilitato, che il firmware, il software di sicurezza e il sistema operativo siano aggiornati, così come la lista delle revoche UEFI”.
