Il testo che segue proviene da un comunicato stampa e non riflette in alcun modo l’opinione della redazione.
• Ulteriori analisi hanno confermato che si trattava di un bootkit UEFI, chiamato Bootkitty. Nel novembre 2024, un’app precedentemente sconosciuta denominata bootkit.efi è stata caricata su VirusTotal. È il primo bootkit UEFI destinato a Linux e a diverse versioni di Ubuntu. Contiene molti elementi che suggeriscono che si tratti più di una prova di concetto che del lavoro di un attore malintenzionato.
• ESET Research ha inoltre scoperto un modulo del kernel potenzialmente correlato, denominato BCDropper di ESET, che distribuisce un programma Linux ELF (Executable and Linking Format) responsabile del caricamento di un altro modulo del kernel.
BRATISLAVA, 27 novembre 2024 — ESET Research ha scoperto il primo bootkit UEFI progettato per sistemi Linux, chiamato Bootkitty dai suoi creatori. ESET ritiene che questo bootkit sia una prima prova di concetto e che, secondo la sua telemetria, non sia stato implementato “in the wild”. Questa è la prima prova che i bootkit UEFI non sono più limitati solo ai sistemi Windows. Lo scopo principale del bootkit è disabilitare la funzionalità di verifica della firma del kernel e precaricare due binari ELF ancora sconosciuti attraverso il processo “init” di Linux (il primo processo eseguito dal kernel Linux durante l’avvio del sistema).
L’app UEFI precedentemente sconosciuta chiamata “bootkit.efi” è stata caricata su VirusTotal. Bootkitty è firmato da un certificato autofirmato e pertanto non può essere eseguito su sistemi con UEFI Secure Boot abilitato per impostazione predefinita. Bootkitty è progettato per avviare in modo trasparente il kernel Linux indipendentemente dal fatto che UEFI Secure Boot sia abilitato o meno, poiché fissa, in memoria, le funzioni necessarie per il controllo dell’integrità.
Bootkit è un rootkit avanzato che può sostituire il bootloader e applicare patch al kernel prima che venga eseguito. Bootkitty consente all’aggressore di assumere il pieno controllo della macchina colpita, poiché coopta il processo di avvio della macchina ed esegue il malware prima ancora che il sistema operativo venga avviato.
Durante l’analisi, ESET ha scoperto un modulo kernel non firmato potenzialmente correlato che ha denominato BCDropper, con segni che suggeriscono che sia stato sviluppato dagli stessi autori di Bootkitty. Distribuisce un binario ELF responsabile del caricamento di un altro modulo del kernel sconosciuto al momento della scansione.
“Bootkitty contiene molti artefatti, il che indica che potrebbe essere più una prova di concetto che il lavoro di un attore malintenzionato. Sebbene l’attuale versione di VirusTotal non rappresenti una vera minaccia per la maggior parte dei sistemi Linux, poiché può colpire solo alcune versioni di Ubuntu, evidenzia la necessità di essere preparati per le minacce future”, spiega Martin Smolár, il ricercatore di ESET, che ha analizzato Bootkitty. Aggiunge: “Per proteggere i tuoi sistemi Linux da queste minacce, assicurati che UEFI Secure Boot sia abilitato, che il firmware del sistema, il software di sicurezza e il sistema operativo siano aggiornati, nonché l’elenco delle revoche UEFI”.
Dopo aver avviato un sistema con Bootkitty nell’ambiente di test ESET, i ricercatori hanno notato che il kernel era contrassegnato come contaminato (è possibile utilizzare un comando per verificare il valore contaminato) e non veniva contrassegnato se il bootkit era assente. Un altro modo per scoprire se il bootkit è sul sistema con UEFI Secure Boot abilitato è tentare di caricare un modulo kernel fittizio non firmato durante il runtime. Se presente il modulo verrà caricato, altrimenti il kernel si rifiuterà di caricarlo. Per eliminare semplicemente il bootkit, quando distribuito in “/EFI/ubuntu/grubx64.efi”, è necessario spostare il file legittimo “/EFI/ubuntu/grubx64-real.efi” nella sua posizione originale, che è “/ EFI/ubuntu/grubx64.efi”.
Negli ultimi anni, il panorama delle minacce UEFI, e in particolare quello dei bootkit UEFI, si è evoluto in modo significativo. Tutto è iniziato con il primo proof of concept (PoC) del bootkit UEFI, descritto da Andrea Allievi nel 2012 e che è servito come dimostrazione della distribuzione dei bootkit sui moderni sistemi Windows basati su UEFI. È stato seguito da molti altri PoC (EfiGuard, Boot Backdoor, UEFI-bootkit). Ci sono voluti diversi anni prima che i primi due veri bootkit UEFI venissero scoperti “allo stato brado” (uno di questi era ESPecter nel 2021, di ESET). Ci sono voluti due anni prima che apparisse il famigerato BlackLotus, il primo bootkit UEFI in grado di bypassare UEFI Secure Boot sui sistemi aggiornati (nel 2023, scoperto da ESET). Ciò che questi noti bootkit avevano in comune era il fatto di prendere di mira esclusivamente i sistemi Windows.
Per un’analisi più dettagliata e tecnica di Bootkitty, consultare l’ultimo blog di ESET Research “Bootkitty: Analyzing the first UEFI bootkit for Linux”, all’indirizzo www.welivesecurity.com/. Per le ultime notizie su ESET Research, segui ESET Research su Twitter (oggi noto come X)
INFORMAZIONI SU ESET ESET® fornisce sicurezza leader del settore per prevenire gli attacchi prima che si verifichino. Grazie alla potenza dell’intelligenza artificiale e delle competenze umane, ESET mantiene un passo avanti rispetto alle minacce note ed emergenti, proteggendo i dispositivi mobili, le sue soluzioni e servizi basati sull’intelligenza artificiale e focalizzati sul cloud sono efficaci e facili da usare. La tecnologia ESET include funzionalità di rilevamento e risposta efficaci, crittografia ultra sicura e autenticazione a più fattori. Con una difesa in tempo reale 24 ore su 24, 7 giorni su 7 e un forte supporto locale, ESET mantiene gli utenti e le aziende al sicuro senza interruzioni. Un panorama digitale in continua evoluzione richiede un approccio progressista alla sicurezza: ESET dispone di una ricerca di livello mondiale e di una potente intelligence sulle minacce, supportata da centri di ricerca e sviluppo e da una rete globale di partner. Maggiori informazioni: www.eset.com o LinkedIn, Facebook, X e https://www.eset.com/be-fr/.
