Un Πρόσφατη ανακάλυψη έχει κλονίσει τη σκηνή της κυβερνοασφάλειας: Οι ερευνητές εντόπισαν το πρώτο bootkit UEFI ειδικά σχεδιασμένο για συστήματα Linux, που ονομάζεται Bootkitty από τους δημιουργούς του. Αυτό το εύρημα σηματοδοτεί μια σημαντική εξέλιξη στις απειλές UEFI, οι οποίες ιστορικά επικεντρώθηκαν σχεδόν αποκλειστικά στα συστήματα Windows. Αν και το κακόβουλο λογισμικό φαίνεται να βρίσκεται σε φάση απόδειξης της ιδέας, η ύπαρξή του ανοίγει την πόρτα σε πιθανές πιο εξελιγμένες απειλές στο μέλλον.
Τα τελευταία χρόνια, Οι απειλές της UEFI έχουν σημειώσει αξιοσημείωτη πρόοδο. Από τις πρώτες αποδείξεις της ιδέας το 2012 έως τις πιο πρόσφατες περιπτώσεις όπως το ESPecter και το BlackLotus, η κοινότητα ασφαλείας έχει δει μια αύξηση στην πολυπλοκότητα αυτών των επιθέσεων. Ωστόσο, το Bootkitty αντιπροσωπεύει μια σημαντική αλλαγή, μετατοπίζοντας την προσοχή στα συστήματα Linux, συγκεκριμένα σε ορισμένες εκδόσεις του Ubuntu.
Τεχνικά χαρακτηριστικά Bootkitty
Bootkitty ξεχωρίζει για τις προηγμένες τεχνικές του δυνατότητες. Αυτό το κακόβουλο λογισμικό χρησιμοποιεί μεθόδους για να παρακάμψει τους μηχανισμούς ασφαλείας του UEFI Secure Boot επιδιορθώνοντας κρίσιμες λειτουργίες επαλήθευσης στη μνήμη. Με αυτόν τον τρόπο, καταφέρνει να φορτώσει τον πυρήνα του Linux ανεξάρτητα από το αν η Ασφαλής εκκίνηση είναι ενεργοποιημένη ή όχι.
Ο κύριος στόχος του Bootkitty περιλαμβάνει απενεργοποιήστε την επαλήθευση υπογραφής πυρήνα και προφόρτιση άγνωστα κακόβουλα δυαδικά ELF Μέσα από τη διαδικασία init του Linux. Ωστόσο, λόγω της χρήσης μη βελτιστοποιημένων μοτίβων κώδικα και σταθερών μετατοπίσεων, η αποτελεσματικότητά του περιορίζεται σε έναν μικρό αριθμό διαμορφώσεων και εκδόσεων πυρήνα και GRUB.
Μια ιδιαιτερότητα του κακόβουλου λογισμικού είναι η πειραματική του φύση: περιέχει κατεστραμμένες λειτουργίες που φαίνεται να προορίζονται για εσωτερικές δοκιμές ή επιδείξεις. Αυτό, μαζί με το αδυναμία λειτουργίας σε συστήματα με ενεργοποιημένη την ασφαλή εκκίνηση, υποδηλώνει ότι βρίσκεται ακόμα σε αρχικά στάδια ανάπτυξης.
Μια σπονδυλωτή προσέγγιση και πιθανοί σύνδεσμοι με άλλα στοιχεία
Κατά την ανάλυσή τους, ερευνητές από ESET Αναγνώρισαν επίσης μια ανυπόγραφη ενότητα πυρήνα που ονομάζεται BCDropper, που πιθανώς αναπτύχθηκε από τους ίδιους συγγραφείς του Bootkitty. Αυτή η ενότητα περιλαμβάνει προηγμένες λειτουργίες, όπως η δυνατότητα απόκρυψης ανοιχτών αρχείων, διεργασιών και θυρών, Τυπικά χαρακτηριστικά ενός rootkit.
BCdropper Αναπτύσσει επίσης ένα δυαδικό ELF που ονομάζεται BCObserver, το οποίο φορτώνει μια άλλη λειτουργική μονάδα πυρήνα ακόμα αγνώστου ταυτότητας. Αν και δεν έχει επιβεβαιωθεί μια άμεση σχέση μεταξύ αυτών των στοιχείων και του Bootkitty, τα ονόματα και οι συμπεριφορές τους υποδηλώνουν μια σύνδεση.
Bootkitty Αντίκτυπος και Προληπτικά Μέτρα
Αν και ο Bootkitty δεν αποτελεί ακόμη πραγματική απειλή Για τα περισσότερα συστήματα Linux, η ύπαρξή του υπογραμμίζει την ανάγκη προετοιμασίας για πιθανές μελλοντικές απειλές. Οι δείκτες δέσμευσης που σχετίζονται με το Bootkitty περιλαμβάνουν:
- Τροποποιημένες συμβολοσειρές στον πυρήνα: ορατό με την εντολή
uname -v
. - Παρουσία της μεταβλητής
LD_PRELOAD
στο αρχείο/proc/1/environ
. - Δυνατότητα φόρτωσης μη υπογεγραμμένων μονάδων πυρήνα: ακόμη και σε συστήματα με ενεργοποιημένη την Ασφαλή εκκίνηση.
- Ο πυρήνας φέρει την ένδειξη "μολυσμένος", υποδεικνύοντας πιθανή παραβίαση.
Για να μετριαστεί ο κίνδυνος που ενέχει αυτό το είδος κακόβουλου λογισμικού, οι ειδικοί συνιστούν να διατηρείτε ενεργοποιημένη την Ασφαλή εκκίνηση του UEFI, καθώς και να διασφαλίσετε ότι το υλικολογισμικό, το λειτουργικό σύστημα και η λίστα ανάκλησης UEFI είναι ΕΠΙΚΑΙΡΟΠΟΙΗΜΕΝΟ.
Μια αλλαγή παραδείγματος στις απειλές UEFI
Το Bootkitty όχι μόνο αμφισβητεί την αντίληψη ότι τα bootkits UEFI είναι αποκλειστικά στα Windows, αλλά και τονίζει το αυξανόμενη προσοχή των εγκληματιών του κυβερνοχώρου προς συστήματα που βασίζονται σε Linux. Παρόλο που βρίσκεται ακόμα σε φάση ανάπτυξης, η εμφάνισή του είναι μια κλήση αφύπνισης για τη βελτίωση της ασφάλειας σε αυτό το είδος περιβάλλοντος.
Αυτό το εύρημα ενισχύει την ανάγκη για προληπτική επιτήρηση και εφαρμογή του προηγμένα μέτρα ασφαλείας για τον μετριασμό πιθανών απειλών που ενδέχεται να εκμεταλλευτούν τρωτά σημεία σε επίπεδο υλικολογισμικού και διαδικασίας εκκίνησης.