Recentemente, i ricercatori di sicurezza informatica hanno scoperto il primo bootkit UEFI progettato per i sistemi Linux, chiamato Bootkitty. Questo bootkit è stato sviluppato da un gruppo conosciuto con il nome di BlackCat. Sebbene sia stato classificato come un proof-of-concept (PoC), non ci sono prove che sia stato usato in attacchi reali. Bootkitty, noto anche come IranuKit, è stato caricato su VirusTotal il 5 novembre 2024. Il suo obiettivo principale è disabilitare la verifica della firma del kernel Linux e precaricare due binari ELF sconosciuti tramite il processo di init di Linux, che è il primo processo eseguito dal kernel durante l'avvio del sistema.
Questa scoperta segna un cambiamento significativo nel panorama delle minacce informatiche, in quanto i bootkit UEFI non sono più limitati ai sistemi Windows. È importante notare che Bootkitty è firmato con un certificato auto-firmato, e quindi non può essere eseguito su sistemi con UEFI Secure Boot attivato a meno che un certificato controllato dall'attaccante non sia già stato installato.
Indipendentemente dallo stato di Secure Boot, il bootkit è progettato principalmente per avviare il kernel Linux e modificare in memoria la risposta della funzione per la verifica dell'integrità prima che venga eseguito il GNU GRand Unified Bootloader (GRUB). In particolare, si occupa di agganciare due funzioni dai protocolli di autenticazione UEFI se Secure Boot è attivo, in modo da aggirare i controlli di integrità UEFI. Successivamente, modifica tre diverse funzioni nel bootloader GRUB legittimo per evitare altre verifiche di integrità.
Bootkitty è progettato anche per interferire con il normale funzionamento del processo di decompressione del kernel Linux, consentendo al malware di caricare moduli dannosi. Inoltre, modifica la variabile di ambiente LD_PRELOAD per caricare due oggetti condivisi ELF sconosciuti quando il processo init inizia.
L'indagine ha portato alla scoperta di un modulo kernel non firmato probabilmente correlato, chiamato BCDropper, capace di distribuire un binario ELF chiamato BCObserver, che carica un altro modulo kernel sconosciuto all'avvio del sistema. Il modulo kernel, anch'esso caratterizzato dal nome BlackCat come autore, implementa altre funzionalità legate ai rootkit, come nascondere file, processi e aprire porte. Non ci sono prove di una connessione con il gruppo ransomware ALPHV/BlackCat a questo stadio.
I ricercatori concludono che, anche se si tratta di un proof-of-concept, Bootkitty rappresenta un'interessante evoluzione nel panorama delle minacce UEFI, rompendo la convinzione che i bootkit UEFI moderni siano esclusivamente una minaccia per Windows. Sottolinea l'importanza di essere preparati per future minacce potenziali.