Поделиться
Первый UEFI-буткит под Linux насторожил исследователей
Эксперты ESET обнаружили новый вредонос, на поверку оказавшийся UEFI-буткитом, нацеленным на ядро Linux. Пока это скорее демонстрационная разработка, но уже ясно, что такие программы перестали быть уникальными для систем Windows.
«Мурка» под Linux
Эксперты компании ESET обнаружили UEFI-буткит, нацеленный на системы Linux, конкретнее, — на ядро операционной системы.
Буткитами называются вредоносные программы, устанавливаемые на очень низком уровне и запускающиеся до загрузки операционной системы. Это обеспечивает их невидимость для неспециализированных защитных программ и возможность производить любые или почти любые вредоносные действия в зараженной системе.
Буткит Bootkitty, также получивший название IranuKit, был загружен на ресурс VirusTotal 5 ноября 2024 г. Эксперты компании ESET считают, что это лишь демонстрационная версия программы, пока еще не задействованная в практических атаках.
Автор Bootkitty называет себя BlackCat. Такое же название носит печально известная киберкриминальная группировка ALPHV/BlackCat, специализирующаяся на шифровальщиках-вымогателях. В ESET указывают, что на данном этапе нельзя утверждать, что автор Bootkitty каким-либо образом относится именно к этой группировке.
«Основная цель буткита — нейтрализовать функцию проверки цифровых подписей в ядре и предзагрузить два пока что неизвестных исполнямых файла ELF через процесс инициализации Linux (это первый процесс, исполняемый ядром Linux при запуске системы)», — пишут исследователи ESET.
Демонстрация чьих-то возможностей
Bootkitty снабжен самоподписным сертификатом, что означает, что ни одна система с активной защитой UEFI (UEFI Secure Boot) не позволит ему запуститься, если только злоумышленники заранее не установили туда свой вредоносный сертификат.
В случае удачного запуска буткит подменяет, модифицирует компоненты ядра Linux, ответственные за проверку целостности кода до запуска загрузчика операционной системы GNU GRand Unified Bootloader (GRUB).
Конкретнее, буткит перехватывает две функции протокола аутентификации UEFI таким образом, чтобы обойти проверку целостности (при активном режиме Secure Boot). Далее он модифицирует три другие функции в загрузчике GRUB, чтобы предотвратить дальнейшие проверки целостности системы.
Помимо всего этого, буткит вклинивается в нормальное функционирование процесса развертывания (разархивации) ядра Linux, что позволяет загружать дополнительные вредоносные модули. Также модифицируется переменна среды LD_PRELOAD, так что два неизвестных компонента ELF (/opt/injector.so and /init) подгружаются на этапе инициализации процесса.
Эксперты ESET отметили, что исследование буткита привело к обнаружению еще одного модуля ядра — BCDropper, который также создан BlackCat. Этот модуль устанавливает в систему исполняемый файл ELF под названием BCObserver, который загружает еще один неизвестный модуль ядра после запуска системы. Плюс к этому, он позволяет скрывать файлы, процессы и открывающиеся порты.
Ключевым в данном случае является тот факт, что это, по-видимому, первый UEFI-буткит, написанный не под Windows.
«До сих пор принято было считать, что UEFI-вредоносы — эндемичны для среды Windows. Теперь это уже не так» — говорит эксперт по информационной безопасности компании SEQ Александр Зонов.
Эксперт отметил, что вне зависимости от степени готовности к применению этого буткита к практическим атакам, можно смело утверждать, что очередной «ящик Пандоры» открыт, и подобные вредоносы под Linux начнут появляться в заметных количествах.
Поделиться
Короткая ссылка
