Pesquisadores de cibersegurança lançaram luz sobre o que foi descrito como o primeiro bootkit de Unified Extensible Firmware Interface (UEFI) projetado para sistemas Linux.
Nomeado Bootkitty por seus criadores, que atendem pelo nome de BlackCat, o bootkit é avaliado como um proof-of-concept (PoC) e não há evidências de que tenha sido utilizado em ataques reais.
Também rastreado como IranuKit, foi carregado na plataforma VirusTotal em 5 de novembro de 2024.
"O principal objetivo do bootkit é desativar o recurso de verificação de assinatura do kernel e pré-carregar dois binários ELF ainda desconhecidos por meio do processo de inicialização do Linux (que é o primeiro processo executado pelo kernel do Linux durante a inicialização do sistema)", disseram os pesquisadores da ESET Martin Smolár e Peter Strýček.
O desenvolvimento é significativo, pois anuncia uma mudança na paisagem de ameaças cibernéticas, onde bootkits UEFI não estão mais confinados apenas a sistemas Windows.
Vale ressaltar que o Bootkitty é assinado por um certificado autoassinado e, portanto, não pode ser executado em sistemas com UEFI Secure Boot ativado a menos que um certificado controlado pelo atacante já tenha sido instalado.
Independentemente do status do UEFI Secure Boot, o bootkit é projetado principalmente para iniciar o kernel Linux e corrigir, na memória, a resposta da função para verificação de integridade antes que o GNU GRand Unified Bootloader (GRUB) seja executado.
Especificamente, ele procede para enganchar duas funções dos protocolos de autenticação UEFI se o Secure Boot estiver ativado de tal forma que as verificações de integridade do UEFI sejam contornadas.
Posteriormente, também corrige três funções diferentes no legítimo carregador de boot GRUB para contornar outras verificações de integridade.
Também é projetado para interferir no funcionamento normal do processo de descompressão do kernel Linux para permitir que o malware carregue módulos maliciosos.
Por último, mas não menos importante, modifica a variável de ambiente LD_PRELOAD para que dois objetos compartilhados ELF desconhecidos ("/opt/injector.so" e "/init") sejam carregados quando o processo init começa.
A empresa eslovaca de cibersegurança afirmou que sua investigação sobre o bootkit também levou à descoberta de um módulo de kernel não assinado provavelmente relacionado, codinome BCDropper, que é capaz de implantar um binário ELF denominado BCObserver que carrega outro módulo de kernel ainda desconhecido após o início do sistema.
O módulo de kernel, também apresentando BlackCat como o nome do autor, implementa outras funcionalidades relacionadas a rootkit, como ocultar arquivos, processos e abrir portas.
Não há evidências que sugiram uma conexão com o grupo de ransomware ALPHV/BlackCat nesta fase.
"Seja como prova de conceito ou não, o Bootkitty marca um movimento interessante no cenário de ameaças UEFI, quebrando a crença sobre bootkits UEFI modernos serem ameaças exclusivas do Windows", disseram os pesquisadores, acrescentando isso enfatiza a necessidade de estar preparado para potenciais ameaças futuras.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...