Bootkitty: первый в истории UEFI-буткит для Linux

Исследователи в области кибербезопасности сообщили о создании первого в своём роде UEFI-буткита для Linux-систем. Инструмент, получивший название Bootkitty, рассматривается как proof-of-concept (PoC) и, по данным специалистов, пока не применялся в реальных атаках. Буткит также известен как IranuKit и был впервые загружен на платформу VirusTotal 5 ноября 2024 года.

Главная задача Bootkitty — отключить функцию проверки подписей ядра Linux и предварительно загрузить два ELF-файла через процесс init, который запускается первым при старте системы. По словам экспертов компании ESET, функционал буткита представляет серьёзный вызов для кибербезопасности.

Этот буткит использует самоподписанный сертификат, что исключает его запуск на системах с включённой функцией Secure Boot, если только злоумышленники заранее не установили контролируемый сертификат. Однако даже в случае включенного Secure Boot — Bootkitty способен модифицировать функции проверки целостности ядра в памяти перед запуском загрузчика GRUB.

Так, если функция Secure Boot активирована, Bootkitty подключается к двум функциям протоколов аутентификации UEFI, обходя проверки целостности. Далее он изменяет три функции в загрузчике GRUB, что позволяет игнорировать дополнительные проверки безопасности. Это демонстрирует серьёзную уязвимость современных систем.

В ходе расследования ESET был обнаружен связанный неподписанный модуль ядра, который развёртывает ELF-бинарный файл BCDropper. Этот файл загружает другой неизвестный модуль ядра после запуска системы. Среди функций модуля — характерное для руткитов сокрытие файлов, процессов и открытие сетевых портов.

Эксперты подчёркивают, что Bootkitty разрушает стереотип о том, что UEFI-буткиты угрожают только Windows-системам, и указывает на необходимость подготовки к новым угрозам. Это открытие может стать отправной точкой для дальнейших разработок в сфере защиты Linux-платформ.