Investigadores descubren Bootkitty, el primer bootkit UEFI dirigido los kernels de Linux - Masterhacks Blog

Investigadores descubren Bootkitty, el primer bootkit UEFI dirigido los kernels de Linux

Investigadores en ciberseguridad han revelado detalles sobre lo que se considera el primer bootkit basado en la Interfaz Unificada Extensible de Firmware (UEFI) diseñado específicamente para sistemas Linux.

Conocido como Bootkitty, nombre dado por sus creadores identificados como BlackCat, este bootkit se considera un prototipo (proof-of-concept, PoC) y no existen indicios de que haya sido utilizado en ataques reales. También llamado IranuKit, fue subido a la plataforma VirusTotal el 5 de noviembre de 2024.

“El propósito principal del bootkit es desactivar la función de verificación de firmas del kernel y precargar dos binarios ELF desconocidos a través del proceso de inicialización de Linux (el primer proceso que ejecuta el kernel durante el arranque)”, explicaron Martin Smolár y Peter Strýček, investigadores de ESET.

Este desarrollo es relevante porque representa un cambio en el panorama de amenazas cibernéticas, demostrando que los bootkits UEFI no se limitan exclusivamente a sistemas Windows.

Cabe destacar que Bootkitty utiliza un certificado autofirmado, lo que significa que no puede ejecutarse en sistemas con UEFI Secure Boot activado, salvo que previamente se haya instalado un certificado manipulado por un atacante.

Con independencia del estado de UEFI Secure Boot, el diseño del bootkit permite arrancar el kernel de Linux y modificar en memoria las respuestas de las funciones de verificación de integridad antes de que se ejecute el gestor de arranque GRUB (GNU GRand Unified Bootloader).

En particular, si Secure Boot está habilitado, el bootkit interviene dos funciones de los protocolos de autenticación de UEFI para sortear las comprobaciones de integridad. Después, también modifica tres funciones del cargador GRUB legítimo para evitar otras verificaciones de seguridad.

La empresa eslovaca de ciberseguridad ESET informó que, durante la investigación del bootkit, se descubrió un módulo de kernel sin firmar que podría estar relacionado. Este módulo es capaz de desplegar un binario ELF llamado BCDropper, que carga un segundo módulo de kernel aún desconocido tras el inicio del sistema.

El módulo de kernel, que también utiliza BlackCat como autor, incluye funciones típicas de un rootkit, como ocultar archivos, procesos y habilitar la apertura de puertos. Hasta ahora, no se ha encontrado evidencia de vínculos con el grupo de ransomware ALPHV/BlackCat.

“Aunque se trate de un prototipo, Bootkitty supone un avance notable en las amenazas UEFI, desafiando la idea de que los bootkits modernos de UEFI son exclusivos de Windows”, destacaron los investigadores. Además, subrayaron la importancia de estar preparados para posibles amenazas futuras.

Gracias por apoyar el libre conocimiento con tu donación!
Bitcoin: bc1q4sw9260twfcxatj8mjp7358cyvrf8whzlelyhj
Ethereum: 0xFb93D2a3c9d1A0b83EE629c2dE1725BCa192e581
Litecoin: LbFduJmHvQXcpCnwfUT7aJ4DYoWSL3iQw8
Dogecoin: D7QQVqNR5rk215A4zd2gyzV9P2bLQtZHFV
Transferencia bancaria en México:
Cuenta CLABE: 646180224401848086 Nombre: Masterhacks LATAM Banco: STP

Unete a nuestros grupos:
WhatsApp: https://chat.whatsapp.com/C8fqiz3aDDc58VRRd1vdrb
Telegram: https://t.me/masterhacks_net
Canal de WhatsApp https://whatsapp.com/channel/0029VaBBLCn5vKAH9NOWCl3K

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *