Peneliti keamanan siber telah menjelaskan apa yang digambarkan sebagai bootkit Unified Extensible Firmware Interface (UEFI) pertama yang dirancang untuk sistem Linux.
Dijuluki Bootkitty oleh penciptanya yang bernama BlackCat, bootkit tersebut dinilai sebagai bukti konsep (PoC) dan tidak ada bukti bahwa bootkit tersebut telah digunakan dalam serangan di dunia nyata. Juga dilacak sebagai IranuKit, itu diunggah ke platform VirusTotal pada 5 November 2024.
“Tujuan utama bootkit ini adalah untuk menonaktifkan fitur verifikasi tanda tangan kernel dan memuat dua biner ELF yang belum diketahui melalui proses init Linux (yang merupakan proses pertama yang dijalankan oleh kernel Linux selama startup sistem),” peneliti ESET Martin Smolár dan Peter kata Strýček.
Perkembangan ini penting karena menandai adanya pergeseran dalam lanskap ancaman dunia maya di mana bootkit UEFI tidak lagi terbatas pada sistem Windows saja.
Perlu dicatat bahwa Bootkitty ditandatangani oleh sertifikat yang ditandatangani sendiri, dan oleh karena itu tidak dapat dijalankan pada sistem dengan UEFI Secure Boot diaktifkan kecuali sertifikat yang dikendalikan penyerang telah diinstal.
Terlepas dari status UEFI Secure Boot, bootkit ini terutama dirancang untuk mem-boot kernel Linux dan menambal, di memori, respons fungsi untuk verifikasi integritas sebelum GNU GRand Unified Bootloader (GRUB) dijalankan.
Secara khusus, ini akan menghubungkan dua fungsi dari protokol autentikasi UEFI jika Boot Aman diaktifkan sedemikian rupa sehingga pemeriksaan integritas UEFI dilewati. Selanjutnya, ia juga menambal tiga fungsi berbeda di boot loader GRUB yang sah untuk menghindari verifikasi integritas lainnya.
Perusahaan keamanan siber Slovakia mengatakan penyelidikannya terhadap bootkit juga mengarah pada penemuan modul kernel terkait yang tidak ditandatangani yang mungkin terkait yang mampu menyebarkan biner ELF yang dijuluki BCDropper yang memuat modul kernel lain yang belum diketahui setelah sistem dimulai.
Modul kernel, juga menampilkan BlackCat sebagai nama pembuatnya, mengimplementasikan fungsi terkait rootkit lainnya seperti menyembunyikan file, proses, dan membuka port. Tidak ada bukti yang menunjukkan adanya koneksi ke grup ransomware ALPHV/BlackCat pada tahap ini.
“Baik berupa bukti konsep atau tidak, Bootkitty menandai langkah maju yang menarik dalam lanskap ancaman UEFI, mematahkan anggapan bahwa bootkit UEFI modern adalah ancaman eksklusif Windows,” kata para peneliti, seraya menambahkan “ini menekankan perlunya bersiap menghadapi potensi ancaman UEFI.” ancaman di masa depan.”
