Bootkitty: scoperto il primo malware bootkit UEFI per Linux

Recentemente è stato scoperto il primo bootkit UEFI specificamente mirato ai sistemi Linux. Ciò segna un cambiamento nelle minacce bootkit stealth e difficili da rimuovere che in precedenza si concentravano su Windows. Denominato “Bootkitty“, il malware Linux è una proof-of-concept che funziona solo su alcune versioni e configurazioni di Ubuntu. Com’è noto, i bootkit sono malware progettati per infettare il processo di avvio di un computer. Si caricano prima del sistema operativo e consento di ottenere il controllo su un sistema a un livello molto basso. Il vantaggio dei bootkit è che possono eludere gli strumenti di sicurezza a livello di OS e modificare i componenti di sistema. Inoltre, possono iniettare codice dannoso senza rischiare di essere rilevati.

I ricercatori ESET, che hanno scoperto Bootkitty, avvertono che la sua esistenza è un’evoluzione significativa nello spazio delle minacce bootkit UEFI. Il team di sicurezza ha rilevato il malware dopo aver esaminato un file sospetto (bootkit.efi) caricato su VirusTotal a novembre 2024. Dopo l’analisi, ESET ha confermato che questo è stato il primo caso di bootkit UEFI Linux a bypassare la verifica della firma del kernel e a precaricare componenti dannosi durante il processo di avvio del sistema. Tale malware si basa su un certificato autofirmato, quindi non verrà eseguito su sistemi con Secure Boot abilitato. Inoltre, gli offset hardcoded e la corrispondenza semplicistica dei byte-pattern lo rendono utilizzabile solo su specifiche versioni di GRUB e kernel. Ciò significa che non è adatto per una distribuzione diffusa.

Il malware contiene inoltre molte funzioni inutilizzate e gestisce male la compatibilità tra le versioni del kernel, spesso causando crash del sistema. Proprio per questo, secondo i ricercatori di ESET, tale malware si troverebbe ancora nelle fasi iniziali di sviluppo.

Bootkitty: i dettagli dell’attacco malware su Linux

Durante l’avvio, Bootkitty aggancia i protocolli di autenticazione di sicurezza UEFI (EFI_SECURITY2_ARCH_PROTOCOL ed EFI_SECURITY_ARCH_PROTOCOL) per bypassare i controlli di verifica dell’integrità di Secure Boot. Ciò garantisce che il bootkit venga caricato indipendentemente dalle policy di sicurezza. Successivamente, aggancia varie funzioni GRUB come ‘start_image‘ e ‘grub_verifiers_open‘ per manipolare i controlli di integrità del bootloader per i binari, incluso il kernel Linux, disattivando la verifica della firma. Bootkitty intercetta quindi il processo di decompressione del kernel Linux e aggancia la funzione ‘module_sig_check‘. Ciò lo costringe a restituire sempre un successo durante i controlli del modulo kernel, consentendo al malware di caricare moduli dannosi. Inoltre, sostituisce la prima variabile d’ambiente con ‘LD_PRELOAD=/opt/injector.so‘ in modo che la libreria dannosa venga iniettata nei processi all’avvio del sistema.

Come spiegato da ESET, l’intero processo lascia dietro di sé diversi artefatti, alcuni intenzionali e altri no. Ciò è un’altra indicazione della mancanza di raffinatezza di Bootkitty. I ricercatori hanno anche notato che lo stesso utente che ha caricato Bootkitty su VT ha anche caricato un modulo kernel non firmato denominato “BCDropper“. Tuttavia, le prove disponibili collegano debolmente i due. BCDropper rilascia un file ELF denominato “BCObserver“, un modulo kernel con funzionalità rootkit che nasconde file, processi e apre porte sul sistema infetto. La scoperta di questo tipo di malware illustra come gli aggressori stiano sviluppando malware Linux che in precedenza era isolato su Windows. Gli indicatori di compromissione (IoC) associati a Bootkitty sono stati condivisi su questo repository GitHub.