Les chercheurs en cybersécurité ont mis en lumière ce qui a été décrit comme le premier kit de démarrage UEFI (Unified Extensible Firmware Interface) conçu pour les systèmes Linux.
Doublé Bootkitty par ses créateurs qui s’appellent BlackCat, le kit de démarrage est considéré comme une preuve de concept (PoC) et il n’y a aucune preuve qu’il a été utilisé dans des attaques réelles. Également suivi comme IranuKitc’était téléchargé sur la plateforme VirusTotal le 5 novembre 2024.
« L’objectif principal du bootkit est de désactiver la fonction de vérification de la signature du noyau et de précharger deux binaires ELF encore inconnus via le processus d’initialisation de Linux (qui est le premier processus exécuté par le noyau Linux lors du démarrage du système) », chercheurs d’ESET Martin Smolár et Peter. Stryček dit.
Cette évolution est importante car elle annonce un changement dans le paysage des cybermenaces où les bootkits UEFI ne se limitent plus aux Systèmes Windows seuls.
Il convient de noter que Bootkitty est signé par un certificat auto-signé et ne peut donc pas être exécuté sur des systèmes sur lesquels le démarrage sécurisé UEFI est activé à moins qu’un certificat contrôlé par un attaquant n’ait déjà été installé.
Quel que soit l’état du démarrage sécurisé UEFI, le kit de démarrage est principalement conçu pour démarrer le noyau Linux et corriger, en mémoire, la réponse de la fonction pour la vérification de l’intégrité avant GNU GRand Unified Bootloader (VER) est exécuté.
Plus précisément, il procède à l’accrochage de deux fonctions des protocoles d’authentification UEFI si Secure Boot est activé de telle manière que les contrôles d’intégrité UEFI soient contournés. Par la suite, il corrige également trois fonctions différentes dans le chargeur de démarrage GRUB légitime pour contourner d’autres vérifications d’intégrité.
Il est également conçu pour interférer avec le fonctionnement normal du processus de décompression du noyau Linux afin de permettre au malware de charger des modules malveillants. Enfin, il modifie la variable d’environnement LD_PRELOAD afin que deux objets partagés ELF inconnus (« /opt/injector.so » et « /init ») soient chargés au démarrage du processus d’initialisation.
La société slovaque de cybersécurité a déclaré que son enquête sur le bootkit avait également conduit à la découverte d’un module de noyau non signé probable, nommé BCDropper, capable de déployer un binaire ELF appelé BCObserver qui charge un autre module de noyau encore inconnu après le démarrage du système.
Le module du noyau, portant également BlackCat comme nom d’auteur, implémente d’autres fonctionnalités liées aux rootkits telles que le masquage de fichiers, de processus et l’ouverture de ports. Il n’existe aucune preuve suggérant un lien avec le groupe de ransomware ALPHV/BlackCat à ce stade.
« Qu’il s’agisse d’une preuve de concept ou non, Bootkitty marque une avancée intéressante dans le paysage des menaces UEFI, brisant la croyance selon laquelle les kits de démarrage UEFI modernes sont des menaces exclusives à Windows », ont déclaré les chercheurs, ajoutant « cela souligne la nécessité d’être préparé ». pour les menaces futures potentielles.