Cybersicherheitsexperten von ESET haben eine bahnbrechende Entdeckung gemacht: den ersten speziell für Linux-Systeme entwickelten UEFI-Bootkit. Die als „Bootkitty“ bezeichnete Schadsoftware markiert einen bedeutenden Wendepunkt in der Entwicklung von Cyber-Bedrohungen, die sich traditionell hauptsächlich gegen Windows-Systeme richteten.
Technische Analyse und Funktionsweise von Bootkitty
Die in C programmierte Malware wurde im November 2024 auf der VirusTotal-Plattform identifiziert. Ihre Hauptfunktion besteht in der Umgehung der Linux-Kernel-Signaturprüfung durch frühzeitige Code-Injektion während des Systemstarts. Besonders bemerkenswert ist die Verwendung selbstsignierter Zertifikate und die gezielte Ausrichtung auf spezifische Ubuntu-Versionen mit bestimmten GRUB- und Kernel-Konfigurationen.
Innovative Angriffsmethoden und Systemkompromittierung
Bootkitty nutzt ausgeklügelte Techniken zur Manipulation der UEFI-Authentifizierungsprotokolle, wodurch die Secure-Boot-Sicherheitsmechanismen umgangen werden. Die Malware modifiziert den GRUB-Bootloader und manipuliert die Integritätsprüfung von Binärdateien. Besonders gefährlich ist die Fähigkeit, bösartige Kernel-Module einzuschleusen und schädliche Bibliotheken beim Systemstart automatisch zu laden.
Verbindungen zu bekannten Bedrohungsakteuren
Die Analyse zeigt mögliche Verbindungen zum unbekannten Kernel-Modul BCDropper und der Komponente BCObserver, die Rootkit-Funktionalitäten aufweisen. Referenzen im Code deuten auf eine potenzielle Verbindung zur BlackCat-Ransomware hin, wobei eine direkte Verbindung zur ALPHV-Gruppe noch nicht bestätigt werden konnte.
Diese Entdeckung verdeutlicht die zunehmende Bedrohung für Linux-basierte Systeme und unterstreicht die Notwendigkeit verbesserter Sicherheitsmaßnahmen. Systemadministratoren wird dringend empfohlen, Secure Boot zu aktivieren, regelmäßige Software-Updates durchzuführen und die auf GitHub verfügbaren Indikatoren für Kompromittierungen zu überprüfen. Obwohl sich Bootkitty noch in einem frühen Entwicklungsstadium befindet, signalisiert seine Existenz eine neue Ära der Cyber-Bedrohungen, die erhöhte Wachsamkeit und robustere Sicherheitsstrategien erfordert.
