Специалисты по кибербезопасности выявили новые подробности о Bootkitty — первом в истории UEFI-бутките, специально разработанном для атак на Linux-системы. Исследование показало, что вредоносное ПО эксплуатирует критическую уязвимость LogoFAIL (CVE-2023-40238) для компрометации устройств с незащищенными прошивками.
Механизм работы Bootkitty и эксплуатация LogoFAIL
По данным экспертов Binarly, Bootkitty использует изощренный метод атаки, внедряя вредоносный код в BMP-файлы (logofail.bmp и logofail_fake.bmp). Этот подход позволяет обходить механизм защиты Secure Boot путем внедрения неавторизованных сертификатов в MokList. Уязвимость LogoFAIL затрагивает библиотеки обработки изображений в UEFI-прошивках, которые используются производителями для отображения фирменных логотипов при загрузке системы.
Затронутые устройства и масштаб угрозы
Наиболее уязвимыми к атакам Bootkitty оказались устройства Lenovo на базе прошивок Insyde. Среди моделей группы риска: IdeaPad Pro 5-16IRH8, IdeaPad 1-15IRU7, Legion 7-16IAX7, Legion Pro 5-16IRX8 и Yoga 9-14IRP8. Текущая версия вредоноса также способна атаковать определенные модели компьютеров Acer, HP и Fujitsu, использующие специфические модули прошивки.
Происхождение и цели разработки
Примечательно, что Bootkitty был создан южнокорейскими студентами-специалистами по кибербезопасности в рамках образовательной программы Best of the Best (BoB). Разработчики заявили, что основной целью проекта было повышение осведомленности о потенциальных угрозах и стимулирование превентивных мер защиты в сообществе ИБ-специалистов.
Несмотря на образовательную природу Bootkitty, его появление демонстрирует растущий интерес злоумышленников к разработке сложных инструментов атак на Linux-системы. Эксперты подчеркивают критическую важность своевременного обновления прошивок и внедрения защитных мер против уязвимостей типа LogoFAIL, которые остаются актуальными для множества устройств даже спустя год после обнаружения.
