Bootkitty התגלה: ערכת האתחול הראשונה של UEFI תוכננה עבור לינוקס

  • Bootkitty הופך לערכת האתחול הראשונה של UEFI המיועדת למערכות לינוקס.
  • התגלה על ידי חוקרי ESET, הוא מכוון לכמה גרסאות של אובונטו ויש לו גישה ניסיונית.
  • התוכנה הזדונית משביתה את אימות חתימת הקרנל ומשתמשת בשיטות מתקדמות כדי לעקוף מנגנוני אבטחה.
  • ESET מדגישה את החשיבות של חיזוק אבטחת הסייבר בלינוקס לנוכח התפתחויות עתידיות אפשריות.

Bootkitty

Un הגילוי האחרון זעזע את סצנת אבטחת הסייבר: חוקרים זיהו את ערכת האתחול הראשונה של UEFI שתוכננה במיוחד עבור מערכות לינוקס, הנקראת Bootkitty על ידי יוצריו. ממצא זה מסמן התפתחות משמעותית באיומי UEFI, אשר היסטורית התמקדו כמעט אך ורק במערכות Windows. לַמרוֹת נראה שהתוכנה הזדונית נמצאת בשלב של הוכחת מושג, קיומו פותח את הדלת לאיומים אפשריים יותר מתוחכמים בעתיד.

בשנים האחרונות, איומי UEFI ראו התקדמות ניכרת. מההוכחות הראשונות לרעיון בשנת 2012 ועד למקרים עדכניים יותר כגון ESPecter ו-BlackLotus, קהילת האבטחה ראתה גידול במורכבות של התקפות אלו. עם זאת, Bootkitty מייצג שינוי חשוב, המעביר את תשומת הלב למערכות לינוקס, במיוחד כמה גרסאות של אובונטו.

תכונות טכניות של Bootkitty

Bootkitty בולט ביכולות הטכניות המתקדמות שלו. תוכנה זדונית זו משתמשת בשיטות כדי לעקוף את מנגנוני האבטחה של UEFI Secure Boot על ידי תיקון פונקציות אימות קריטיות בזיכרון. בדרך זו, הוא מצליח לטעון את ליבת לינוקס ללא קשר לשאלה אם אתחול מאובטח מופעל או לא.

המטרה העיקרית של Bootkitty כוללת השבת את אימות חתימת הקרנל וטעינה מראש ELF בינאריים זדוניים לא ידועים דרך התהליך init של לינוקס. עם זאת, בשל השימוש בדפוסי קוד לא אופטימליים והיסטים קבועים, יעילותו מוגבלת למספר קטן של תצורות וגרסאות ליבה GRUB.

הייחודיות של תוכנות זדוניות היא האופי הניסיוני שלה: מכיל פונקציות שבורות שנראה כי מיועדות לבדיקות פנימיות או הדגמות. זה, יחד עם זה חוסר יכולת לפעול על מערכות עם אתחול מאובטח מופעל מחוץ לקופסה, מצביע על כך שהוא עדיין בשלבי פיתוח מוקדמים.

גישה מודולרית וקשרים אפשריים עם רכיבים אחרים

במהלך הניתוח שלהם, חוקרים מ ESET הם גם זיהו מודול ליבה לא חתום בשם BCDropper, שפותח בפוטנציה על ידי אותם מחברי Bootkitty. מודול זה כולל תכונות מתקדמות כגון היכולת להסתיר קבצים פתוחים, תהליכים ויציאות, מאפיינים אופייניים של Rootkit.

BCDropper הוא גם פורס קובץ בינארי ELF בשם BCObserver, אשר טוען מודול ליבה נוסף עדיין לא מזוהה. למרות שקשר ישיר בין רכיבים אלה לבין Bootkitty לא אושר, שמותיהם והתנהגויותיהם מרמזים על קשר.

השפעת Bootkitty ואמצעי מניעה

למרות Bootkitty עדיין לא איום אמיתי עבור רוב מערכות לינוקס, קיומו מדגיש את הצורך להיות מוכן לאיומים עתידיים פוטנציאליים. אינדיקטורים למעורבות הקשורים ל-Bootkitty כוללים:

  • מחרוזות ששונו בקרנל: גלוי עם הפקודה uname -v.
  • נוכחות המשתנה LD_PRELOAD בארכיון /proc/1/environ.
  • יכולת לטעון מודולי ליבה לא חתומים: אפילו במערכות עם אתחול מאובטח מופעל.
  • גרעין מסומן "נגוע", המצביע על התעסקות אפשרית.

כדי להפחית את הסיכון הנשקף מסוג זה של תוכנות זדוניות, מומחים ממליצים להשאיר את UEFI Secure Boot מופעל, כמו גם לוודא שהקושחה, מערכת ההפעלה ורשימת הביטולים של UEFI מְעוּדכָּן.

שינוי פרדיגמה באיומי UEFI

Bootkitty לא רק מאתגר את התפיסה כי ערכות האתחול של UEFI הן בלעדיות ל-Windows, אלא גם מדגיש את תשומת לב גוברת של פושעי סייבר כלפי מערכות מבוססות לינוקס. למרות שהוא עדיין בשלב פיתוח, המראה שלו הוא קריאת השכמה לשיפור האבטחה בסביבה מסוג זה.

ממצא זה מחזק את הצורך במעקב ויישום יזום של אמצעי אבטחה מתקדמים כדי להפחית איומים פוטנציאליים שעלולים לנצל פגיעויות ברמת הקושחה ותהליך האתחול.


השאירו את התגובה שלכם

כתובת הדוא"ל שלך לא תפורסם. שדות חובה מסומנים *

*

*

  1. אחראי לנתונים: מיגל אנחל גטון
  2. מטרת הנתונים: בקרת ספאם, ניהול תגובות.
  3. לגיטימציה: הסכמתך
  4. מסירת הנתונים: הנתונים לא יועברו לצדדים שלישיים אלא בהתחייבות חוקית.
  5. אחסון נתונים: מסד נתונים המתארח על ידי Occentus Networks (EU)
  6. זכויות: בכל עת תוכל להגביל, לשחזר ולמחוק את המידע שלך.