Експерти з кібербезпеки виявили революційну загрозу для Linux-систем – перший в історії UEFI-буткіт під назвою Bootkitty. Це шкідливе програмне забезпечення використовує критичну вразливість LogoFAIL (CVE-2023-40238) для компрометації пристроїв через незахищені прошивки, демонструючи новий вектор атак на операційні системи Linux.
Технічний аналіз механізму атаки Bootkitty
Дослідники компанії Binarly розкрили складний механізм дії Bootkitty, який базується на маніпуляціях з BMP-файлами. Зловмисне програмне забезпечення впроваджує шкідливий код у файли logofail.bmp та logofail_fake.bmp, що використовуються для відображення логотипів під час завантаження системи. Особливо небезпечним є те, що буткіт здатний обходити систему захисту Secure Boot через внесення неавторизованих сертифікатів до MokList, компрометуючи цілісність завантаження системи.
Вразливі пристрої та масштаби загрози
Найбільшому ризику піддаються пристрої Lenovo з прошивками Insyde. Критично вразливими моделями є: IdeaPad Pro 5-16IRH8, IdeaPad 1-15IRU7, Legion 7-16IAX7, Legion Pro 5-16IRX8 та Yoga 9-14IRP8. Додатково під загрозою опинились окремі моделі Acer, HP та Fujitsu, що використовують специфічні компоненти прошивки.
Освітній характер розробки та її значення для галузі
Примітно, що Bootkitty був створений південнокорейськими студентами-фахівцями з кібербезпеки в межах освітньої програми Best of the Best (BoB). Розробники наголошують на освітній меті проєкту – підвищити обізнаність про потенційні загрози та стимулювати розвиток превентивних заходів захисту в спільноті фахівців з інформаційної безпеки.
Поява Bootkitty сигналізує про зростаючу складність кіберзагроз для Linux-систем та необхідність посилення захисту на рівні UEFI-прошивок. Експерти наголошують на критичній важливості своєчасного оновлення прошивок та впровадження комплексних заходів захисту від вразливостей типу LogoFAIL. Організаціям рекомендується провести аудит своїх систем та впровадити необхідні патчі для мінімізації ризиків компрометації через цей новий вектор атак.
