Trouvé dans la nature : le premier bootkit UEFI invincible au monde pour Linux

Au cours de la dernière décennie, une nouvelle classe d’infections a menacé les utilisateurs de Windows. En infectant le micrologiciel qui s’exécute juste avant le chargement du système d’exploitation, ces kits de démarrage UEFI continuent de fonctionner même lorsque le disque dur est remplacé ou reformaté. Aujourd’hui, le même type de malware hébergé sur une puce a été découvert dans la nature pour pirater des machines Linux par porte dérobée.

Des chercheurs de la société de sécurité ESET ont déclaré mercredi que Bootkitty – le nom que des acteurs inconnus ont donné à leur bootkit Linux – avait été téléchargé sur VirusTotal plus tôt ce mois-ci. Comparé à ses cousins ​​Windows, Bootkitty est encore relativement rudimentaire, contenant des imperfections dans les fonctionnalités clés sous le capot et manquant de moyens pour infecter toutes les distributions Linux autres qu’Ubuntu. Cela a amené les chercheurs de l’entreprise à soupçonner que le nouveau bootkit était probablement une version de validation de principe. À ce jour, ESET n’a trouvé aucune preuve d’infection réelle dans la nature.

Soyez prêt

Bootkitty suggère néanmoins que les acteurs malveillants pourraient développer activement une version Linux du même type de bootkit invincible qui ciblait auparavant uniquement les machines Windows.

« Qu’il s’agisse d’une preuve de concept ou non, Bootkitty marque une avancée intéressante dans le paysage des menaces UEFI, brisant la croyance selon laquelle les bootkits UEFI modernes sont des menaces exclusives à Windows », ont déclaré les chercheurs d’ESET. a écrit. « Même si la version actuelle de VirusTotal ne représente pas, pour le moment, une menace réelle pour la majorité des systèmes Linux, elle souligne la nécessité de se préparer aux menaces potentielles futures. »

Un rootkit est un logiciel malveillant qui s’exécute dans les régions les plus profondes du système d’exploitation qu’il infecte. Il exploite cette position stratégique pour cacher les informations sur sa présence au système d’exploitation lui-même. Un bootkit, quant à lui, est un malware qui infecte le processus de démarrage de la même manière. Bootkits pour l’UEFI (abréviation de Interface de micrologiciel extensible unifiée– se cachent dans le micrologiciel résident de la puce qui s’exécute à chaque démarrage d’une machine. Ces types de bootkits peuvent persister indéfiniment, fournissant un moyen furtif de détourner le système d’exploitation avant même qu’il ne soit complètement chargé et activé les défenses de sécurité telles qu’un logiciel antivirus.

La barre pour installer un bootkit est haute. Un attaquant doit d’abord prendre le contrôle administratif de la machine ciblée, soit par un accès physique alors qu’elle est déverrouillée, soit en exploitant d’une manière ou d’une autre une vulnérabilité critique du système d’exploitation. Dans ces circonstances, les attaquants ont déjà la possibilité d’installer des logiciels malveillants résidant sur le système d’exploitation. Les bootkits, cependant, sont beaucoup plus puissants car ils (1) s’exécutent avant le système d’exploitation et (2) sont, du moins en pratique, indétectables et inamovibles.