Pesquisadores descobrem “Bootkitty” – Primeiro UEFI Bootkit direcionado a kernels Linux

Pesquisadores de segurança cibernética lançaram luz sobre o que foi descrito como o primeiro bootkit Unified Extensible Firmware Interface (UEFI) projetado para sistemas Linux.

Apelidado de Bootkitty por seus criadores, que atendem pelo nome de BlackCat, o bootkit é avaliado como uma prova de conceito (PoC) e não há evidências de que tenha sido usado em ataques no mundo real. Também rastreado como IranuKit , ele foi carregado na plataforma VirusTotal em 5 de novembro de 2024.

“O principal objetivo do bootkit é desabilitar o recurso de verificação de assinatura do kernel e pré-carregar dois binários ELF ainda desconhecidos por meio do processo init do Linux (que é o primeiro processo executado pelo kernel do Linux durante a inicialização do sistema)”, disseram os pesquisadores da ESET Martin Smolár e Peter Strýček .

O desenvolvimento é significativo, pois anuncia uma mudança no cenário de ameaças cibernéticas, onde os bootkits UEFI não estão mais confinados apenas aos sistemas Windows .

Vale ressaltar que o Bootkitty é assinado por um certificado autoassinado e, portanto, não pode ser executado em sistemas com UEFI Secure Boot habilitado, a menos que um certificado controlado pelo invasor já tenha sido instalado.

Kit de inicialização UEFI Linux

Independentemente do status do UEFI Secure Boot, o bootkit é projetado principalmente para inicializar o kernel do Linux e corrigir, na memória, a resposta da função para verificação de integridade antes que o GNU GRand Unified Bootloader ( GRUB ) seja executado.

Especificamente, ele prossegue para conectar duas funções dos protocolos de autenticação UEFI se o Secure Boot estiver habilitado de tal forma que as verificações de integridade UEFI sejam ignoradas. Posteriormente, ele também corrige três funções diferentes no carregador de inicialização GRUB legítimo para contornar outras verificações de integridade.

A empresa eslovaca de segurança cibernética disse que sua investigação sobre o bootkit também levou à descoberta de um provável módulo de kernel não assinado que é capaz de implantar um binário ELF chamado BCDropper, que carrega outro módulo de kernel ainda desconhecido após a inicialização do sistema.

O módulo do kernel, também apresentando BlackCat como o nome do autor, implementa outras funcionalidades relacionadas ao rootkit, como ocultar arquivos, processos e abrir portas. Não há evidências que sugiram uma conexão com o grupo de ransomware ALPHV/BlackCat neste estágio.

“Seja uma prova de conceito ou não, o Bootkitty marca um avanço interessante no cenário de ameaças UEFI, quebrando a crença de que os bootkits UEFI modernos são ameaças exclusivas do Windows”, disseram os pesquisadores, acrescentando que “ele enfatiza a necessidade de estar preparado para potenciais ameaças futuras”.