Investigadores en ciberseguridad han revelado detalles sobre lo que se considera el primer bootkit basado en la Interfaz Unificada Extensible de Firmware (UEFI) diseñado específicamente para sistemas Linux.
Conocido como Bootkitty, nombre dado por sus creadores identificados como BlackCat, este bootkit se considera un prototipo (proof-of-concept, PoC) y no existen indicios de que haya sido utilizado en ataques reales. También llamado IranuKit, fue subido a la plataforma VirusTotal el 5 de noviembre de 2024.
“El propósito principal del bootkit es desactivar la función de verificación de firmas del kernel y precargar dos binarios ELF desconocidos a través del proceso de inicialización de Linux (el primer proceso que ejecuta el kernel durante el arranque)”, explicaron Martin Smolár y Peter Strýček, investigadores de ESET.
Este desarrollo es relevante porque representa un cambio en el panorama de amenazas cibernéticas, demostrando que los bootkits UEFI no se limitan exclusivamente a sistemas Windows.
Cabe destacar que Bootkitty utiliza un certificado autofirmado, lo que significa que no puede ejecutarse en sistemas con UEFI Secure Boot activado, salvo que previamente se haya instalado un certificado manipulado por un atacante.
Con independencia del estado de UEFI Secure Boot, el diseño del bootkit permite arrancar el kernel de Linux y modificar en memoria las respuestas de las funciones de verificación de integridad antes de que se ejecute el gestor de arranque GRUB (GNU GRand Unified Bootloader).
En particular, si Secure Boot está habilitado, el bootkit interviene dos funciones de los protocolos de autenticación de UEFI para sortear las comprobaciones de integridad. Después, también modifica tres funciones del cargador GRUB legítimo para evitar otras verificaciones de seguridad.
La empresa eslovaca de ciberseguridad ESET informó que, durante la investigación del bootkit, se descubrió un módulo de kernel sin firmar que podría estar relacionado. Este módulo es capaz de desplegar un binario ELF llamado BCDropper, que carga un segundo módulo de kernel aún desconocido tras el inicio del sistema.
El módulo de kernel, que también utiliza BlackCat como autor, incluye funciones típicas de un rootkit, como ocultar archivos, procesos y habilitar la apertura de puertos. Hasta ahora, no se ha encontrado evidencia de vínculos con el grupo de ransomware ALPHV/BlackCat.
“Aunque se trate de un prototipo, Bootkitty supone un avance notable en las amenazas UEFI, desafiando la idea de que los bootkits modernos de UEFI son exclusivos de Windows”, destacaron los investigadores. Además, subrayaron la importancia de estar preparados para posibles amenazas futuras.