Treaba asta trebuia să apară mai devreme sau mai târziu: ESET a descoperit un bootkit UEFI denumit Bootkitty (zic despre el că ar fi doar un prototip) făcut să infecteze distribuțiile Linux (din câte a am înțeles Ubuntu e vizat în mod special).
Sub numele Bootkitty ESET identifică un nou malware construit special să dezactiveze opțiunile de verificare a semnăturilor kernel Linux și a modulelor asociate, în plus e capabil să modifice procesele cheie din lanțul de boot, inclusiv GRUB și modulele de decompresie.
Pentru cine nu știe: computerele moderne folosesc de multă vreme UEFI în locul clasicului BIOS pentru a permite încărcarea securizată a sistemului de operare. UEFI vine de la Unified Extensible Firmware Interface (UEFI) și este folosit de macOS, Windows și Linux, dar până acum infecțiile UEFI au preponderente în zona Windows.
Acum situația se schimbă – mă mir că abia acum au apărut informațiile – și vedem deja primul exemplu de infectare. ESET spune că analiza a pornit de la fișierul “bootkit.efi”, încărcat în VirusTotal în această lună. După ce au decompilat fișierul și l-au analizat, Martin Smolár și Peter Strýček (de la ESET) au concluzionat că este un proiect în dezvoltare din cauza multelor funcții neterminate și a existenței variabilelor hardcodate.
Tot în urma analizei pare că infecția este gândită să fie una în lanț, pentru că odată invalidarea semnăturii din kernel, pare că există un modul kernel identificat cu BCDropper al cărui comportament este unul de tip rootkit, cu opțiuni care îi permită să ascundă fișiere și procese, plus instalarea unor alte module pe sistem.
Ce mi se pare interesant este că vorbim de un proiect care pare a fi în dezvoltare și nu e încă activ – asta înseamnă că cel mai probabil cel care l-au creat au decis să renunțe la el (pentru că au ceva mai bun în dezvoltare?) și l-au lăsat să ajungă pe VirutTotal, poate ca să testeze dacă și cât de bine poate să fie detectat de soluțiile actuale.
Încă nu au fost detectate infecții reale cu acest malware, doar că lipsa informațiilor nu înseamnă că el (sau variante ale sale) nu există deja active.
Ca să știți …
via ESET
