Un הגילוי האחרון זעזע את סצנת אבטחת הסייבר: חוקרים זיהו את ערכת האתחול הראשונה של UEFI שתוכננה במיוחד עבור מערכות לינוקס, הנקראת Bootkitty על ידי יוצריו. ממצא זה מסמן התפתחות משמעותית באיומי UEFI, אשר היסטורית התמקדו כמעט אך ורק במערכות Windows. לַמרוֹת נראה שהתוכנה הזדונית נמצאת בשלב של הוכחת מושג, קיומו פותח את הדלת לאיומים אפשריים יותר מתוחכמים בעתיד.
בשנים האחרונות, איומי UEFI ראו התקדמות ניכרת. מההוכחות הראשונות לרעיון בשנת 2012 ועד למקרים עדכניים יותר כגון ESPecter ו-BlackLotus, קהילת האבטחה ראתה גידול במורכבות של התקפות אלו. עם זאת, Bootkitty מייצג שינוי חשוב, המעביר את תשומת הלב למערכות לינוקס, במיוחד כמה גרסאות של אובונטו.
תכונות טכניות של Bootkitty
Bootkitty בולט ביכולות הטכניות המתקדמות שלו. תוכנה זדונית זו משתמשת בשיטות כדי לעקוף את מנגנוני האבטחה של UEFI Secure Boot על ידי תיקון פונקציות אימות קריטיות בזיכרון. בדרך זו, הוא מצליח לטעון את ליבת לינוקס ללא קשר לשאלה אם אתחול מאובטח מופעל או לא.
המטרה העיקרית של Bootkitty כוללת השבת את אימות חתימת הקרנל וטעינה מראש ELF בינאריים זדוניים לא ידועים דרך התהליך init של לינוקס. עם זאת, בשל השימוש בדפוסי קוד לא אופטימליים והיסטים קבועים, יעילותו מוגבלת למספר קטן של תצורות וגרסאות ליבה GRUB.
הייחודיות של תוכנות זדוניות היא האופי הניסיוני שלה: מכיל פונקציות שבורות שנראה כי מיועדות לבדיקות פנימיות או הדגמות. זה, יחד עם זה חוסר יכולת לפעול על מערכות עם אתחול מאובטח מופעל מחוץ לקופסה, מצביע על כך שהוא עדיין בשלבי פיתוח מוקדמים.
גישה מודולרית וקשרים אפשריים עם רכיבים אחרים
במהלך הניתוח שלהם, חוקרים מ ESET הם גם זיהו מודול ליבה לא חתום בשם BCDropper, שפותח בפוטנציה על ידי אותם מחברי Bootkitty. מודול זה כולל תכונות מתקדמות כגון היכולת להסתיר קבצים פתוחים, תהליכים ויציאות, מאפיינים אופייניים של Rootkit.
BCDropper הוא גם פורס קובץ בינארי ELF בשם BCObserver, אשר טוען מודול ליבה נוסף עדיין לא מזוהה. למרות שקשר ישיר בין רכיבים אלה לבין Bootkitty לא אושר, שמותיהם והתנהגויותיהם מרמזים על קשר.
השפעת Bootkitty ואמצעי מניעה
למרות Bootkitty עדיין לא איום אמיתי עבור רוב מערכות לינוקס, קיומו מדגיש את הצורך להיות מוכן לאיומים עתידיים פוטנציאליים. אינדיקטורים למעורבות הקשורים ל-Bootkitty כוללים:
- מחרוזות ששונו בקרנל: גלוי עם הפקודה
uname -v
. - נוכחות המשתנה
LD_PRELOAD
בארכיון/proc/1/environ
. - יכולת לטעון מודולי ליבה לא חתומים: אפילו במערכות עם אתחול מאובטח מופעל.
- גרעין מסומן "נגוע", המצביע על התעסקות אפשרית.
כדי להפחית את הסיכון הנשקף מסוג זה של תוכנות זדוניות, מומחים ממליצים להשאיר את UEFI Secure Boot מופעל, כמו גם לוודא שהקושחה, מערכת ההפעלה ורשימת הביטולים של UEFI מְעוּדכָּן.
שינוי פרדיגמה באיומי UEFI
Bootkitty לא רק מאתגר את התפיסה כי ערכות האתחול של UEFI הן בלעדיות ל-Windows, אלא גם מדגיש את תשומת לב גוברת של פושעי סייבר כלפי מערכות מבוססות לינוקס. למרות שהוא עדיין בשלב פיתוח, המראה שלו הוא קריאת השכמה לשיפור האבטחה בסביבה מסוג זה.
ממצא זה מחזק את הצורך במעקב ויישום יזום של אמצעי אבטחה מתקדמים כדי להפחית איומים פוטנציאליים שעלולים לנצל פגיעויות ברמת הקושחה ותהליך האתחול.