El siguiente texto proviene de un comunicado de prensa y de ninguna manera refleja la opinión de la redacción.
• Un análisis más detallado confirmó que se trataba de un kit de arranque UEFI, llamado Bootkitty. En noviembre de 2024, se subió a VirusTotal una aplicación previamente desconocida llamada bootkit.efi. Es el primer bootkit UEFI dirigido a Linux y varias versiones de Ubuntu. Contiene muchos elementos que sugieren que es más una prueba de concepto que el trabajo de un actor malicioso.
• ESET Research también descubrió un módulo del kernel potencialmente relacionado, denominado BCDropper por ESET, que implementa un programa ELF (formato ejecutable y de enlace) de Linux responsable de cargar otro módulo del kernel.
BRATISLAVA, 27 de noviembre de 2024 — ESET Research descubrió el primer bootkit UEFI diseñado para sistemas Linux, llamado Bootkitty por sus creadores. ESET cree que este bootkit es una primera prueba de concepto y que, según su telemetría, no se ha implementado “en la naturaleza”. Esta es la primera evidencia de que los bootkits UEFI ya no se limitan solo a los sistemas Windows. El objetivo principal del kit de arranque es deshabilitar la función de verificación de firma del kernel y precargar dos binarios ELF aún desconocidos a través del proceso “init” de Linux (el primer proceso ejecutado por el kernel de Linux durante el inicio del sistema).
La aplicación UEFI previamente desconocida llamada “bootkit.efi” se cargó en VirusTotal. Bootkitty está firmado mediante un certificado autofirmado y, por lo tanto, no puede ejecutarse en sistemas con UEFI Secure Boot habilitado de forma predeterminada. Bootkitty está diseñado para iniciar de forma transparente el kernel de Linux, ya sea que UEFI Secure Boot esté habilitado o no, porque corrige, en la memoria, las funciones necesarias para la verificación de integridad.
Bootkit es un rootkit avanzado que puede reemplazar el gestor de arranque y parchear el kernel antes de que se ejecute. Bootkitty permite al atacante tomar el control total de la máquina afectada, ya que coopta el proceso de arranque de la máquina y ejecuta malware incluso antes de que se haya iniciado el sistema operativo.
Durante el análisis, ESET descubrió un módulo del kernel sin firmar potencialmente relacionado al que denominó BCDropper, con signos que sugieren que fue desarrollado por los mismos autores que Bootkitty. Implementa un binario ELF responsable de cargar otro módulo del kernel desconocido en el momento del escaneo.
“Bootkitty contiene muchos artefactos, lo que indica que puede ser más una prueba de concepto que el trabajo de un actor malicioso. Si bien la versión actual de VirusTotal no es una amenaza real para la mayoría de los sistemas Linux, ya que sólo puede afectar a unas pocas versiones de Ubuntu, resalta la necesidad de estar preparados para futuras amenazas”, explica Martin Smolár, investigador de ESET. quien analizó Bootkitty. Agrega: “Para proteger sus sistemas Linux de estas amenazas, asegúrese de que UEFI Secure Boot esté habilitado, que el firmware del sistema, el software de seguridad y el sistema operativo estén actualizados, así como la lista de revocaciones UEFI”.
Después de iniciar un sistema con Bootkitty en el entorno de prueba de ESET, los investigadores notaron que el kernel estaba marcado como contaminado (se puede usar un comando para verificar el valor contaminado) y no estaba marcado si el bootkit estaba ausente. Otra forma de saber si el kit de arranque está en el sistema con el arranque seguro UEFI habilitado es intentar cargar un módulo de kernel ficticio sin firmar durante el tiempo de ejecución. Si está presente, el módulo se cargará; de lo contrario, el núcleo se negará a cargarlo. Para simplemente deshacerse del kit de arranque, cuando se implementa en “/EFI/ubuntu/grubx64.efi”, debe mover el archivo legítimo “/EFI/ubuntu/grubx64-real.efi” a su ubicación original, que es “/ EFI/ubuntu/grubx64.efi”.
En los últimos años, el panorama de amenazas UEFI, y en particular el de los bootkits UEFI, ha evolucionado significativamente. Comenzó con la primera prueba de concepto (PoC) de bootkit UEFI, descrita por Andrea Allievi en 2012 y que sirvió como demostración de la implementación de bootkits en sistemas Windows modernos basados en UEFI. Le siguieron muchos otros PoC (EfiGuard, Boot Backdoor, UEFI-bootkit). Pasaron varios años hasta que se descubrieron los dos primeros bootkits UEFI verdaderos “en la naturaleza” (uno de ellos fue ESPecter en 2021, de ESET). Luego pasaron dos años antes de que apareciera el infame BlackLotus, el primer kit de arranque UEFI capaz de evitar el arranque seguro UEFI en sistemas actualizados (en 2023, descubierto por ESET). Lo que estos conocidos bootkits tenían en común era su objetivo exclusivo de sistemas Windows.
Para obtener un análisis más detallado y técnico de Bootkitty, consulte el último blog de ESET Research, “Bootkitty: Analizando el primer kit de arranque UEFI para Linux”, en www.welivesecurity.com/. Para conocer las últimas noticias sobre ESET Research, siga a ESET Research en Twitter (hoy conocido como X)
ACERCA DE ESET ESET® proporciona seguridad líder en la industria para prevenir ataques antes de que ocurran. Con el poder de la IA y la experiencia humana, ESET se mantiene a la vanguardia de las amenazas conocidas y emergentes, protegiendo los dispositivos móviles, sus soluciones y servicios impulsados por IA y centrados en la nube son efectivos y fáciles de usar. La tecnología de ESET incluye detección y respuesta sólidas, cifrado ultraseguro y autenticación multifactor. Con defensa en tiempo real las 24 horas, los 7 días de la semana y un sólido soporte local, ESET mantiene a los usuarios y a las empresas seguros sin interrupciones. Un panorama digital en constante cambio exige un enfoque progresivo de la seguridad: ESET cuenta con investigación de clase mundial y una potente inteligencia sobre amenazas, respaldada por centros de I+D y una red global de socios. Más información: www.eset.com o LinkedIn, Facebook, X y https://www.eset.com/be-fr/.
