Специалисты по кибербезопасности компании ESET выявили принципиально новую угрозу — первый UEFI-буткит, специально разработанный для атак на операционные системы Linux. Вредоносное ПО, получившее название Bootkitty, хотя и находится на ранней стадии разработки, знаменует важный сдвиг в ландшафте киберугроз, традиционно ориентированных на Windows.

Технический анализ новой угрозы

Bootkitty, обнаруженный на платформе VirusTotal в ноябре 2024 года, представляет собой вредоносную программу, написанную на языке C. Основная особенность буткита — способность обходить проверку подписи ядра Linux путем внедрения вредоносного кода на ранних этапах загрузки системы. Малварь использует самоподписанный сертификат и целенаправленно атакует определенные версии Ubuntu с конкретными конфигурациями GRUB и ядра.

Механизм работы и особенности внедрения

В процессе работы Bootkitty эксплуатирует протоколы аутентификации UEFI для обхода системы безопасности Secure Boot. Вредонос манипулирует функциями загрузчика GRUB и модифицирует процесс проверки целостности бинарных файлов. Особую опасность представляет способность малвари внедрять вредоносные модули ядра и автоматически загружать вредоносные библиотеки при старте системы.

Связь с другими угрозами и потенциальные риски

Исследователи обнаружили возможную связь Bootkitty с неподписанным модулем ядра BCDropper и компонентом BCObserver, которые обладают функционалом руткита. В коде присутствуют упоминания BlackCat, однако прямая связь с известной группировкой вымогателей ALPHV пока не подтверждена.

Несмотря на текущие ограничения и несовершенства Bootkitty, появление специализированного UEFI-буткита для Linux свидетельствует о растущем интересе киберпреступников к этой платформе. Администраторам Linux-систем рекомендуется усилить меры безопасности, включая обязательное использование Secure Boot и регулярное обновление программного обеспечения. Индикаторы компрометации доступны на GitHub для проведения проверок и реализации превентивных мер защиты.