Дослідники з компанії ESET зробили важливе відкриття у сфері кібербезпеки, виявивши принципово новий тип загрози – перший UEFI-буткит, спеціально створений для компрометації операційних систем Linux. Шкідливе програмне забезпечення, назване Bootkitty, демонструє значний прорив у розвитку кіберзагроз, які традиційно були орієнтовані на платформу Windows.
Технічні особливості та механізм дії Bootkitty
Виявлений у листопаді 2024 року на платформі VirusTotal, Bootkitty представляє собою складну шкідливу програму, написану мовою C. Ключова особливість цього буткіта полягає у його здатності обходити механізми перевірки підпису ядра Linux, що досягається шляхом впровадження шкідливого коду на найбільш ранніх етапах завантаження системи. Малвар використовує самопідписаний сертифікат та спеціально націлений на конкретні версії Ubuntu з певними конфігураціями GRUB та ядра.
Інноваційні методи обходу захисту
Особливу небезпеку становить здатність Bootkitty маніпулювати протоколами аутентифікації UEFI для подолання системи безпеки Secure Boot. Шкідливе ПЗ втручається у роботу завантажувача GRUB та модифікує процеси перевірки цілісності бінарних файлів. Додатково, малвар здатний впроваджувати шкідливі модулі ядра та забезпечувати автоматичне завантаження шкідливих бібліотек при старті системи.
Зв’язки з іншими загрозами та потенційні наслідки
Аналіз коду виявив можливий зв’язок Bootkitty з непідписаним модулем ядра BCDropper та компонентом BCObserver, які мають функціонал руткіта. У коді знайдено посилання на BlackCat, хоча прямий зв’язок з відомим угрупованням вимагачів ALPHV поки що не підтверджений експертами.
Поява спеціалізованого UEFI-буткіта для Linux свідчить про зростаючий інтерес кіберзлочинців до цієї платформи та потребує посилення заходів безпеки. Фахівці рекомендують адміністраторам Linux-систем обов’язково використовувати Secure Boot, регулярно оновлювати програмне забезпечення та впроваджувати багаторівневий захист. Для проведення аудиту безпеки та впровадження превентивних заходів захисту індикатори компрометації доступні на офіційному репозиторії GitHub.
