Bootkitty: el primer bootkit UEFI para Linux

Ciberataques Bootkitty IranuKit Linux UEFI ESET arranque seguro GRUB PoC rootkit bootkit
Bootkitty: el primer bootkit UEFI para Linux
Ciberataques Bootkitty IranuKit Linux UEFI ESET arranque seguro GRUB PoC rootkit bootkit

Una clase de malware fundamentalmente nueva está aquí.

image

Los investigadores en ciberseguridad han informado sobre la creación del primer bootkit UEFI para sistemas Linux. La herramienta, denominada Bootkitty, se considera una prueba de concepto (PoC) y, según los expertos, aún no se ha utilizado en ataques reales. El bootkit, también conocido como IranuKit, fue cargado por primera vez en la plataforma VirusTotal el 5 de noviembre de 2024.

El objetivo principal de Bootkitty es desactivar la función de verificación de firmas del núcleo de Linux y cargar previamente dos archivos ELF a través del proceso init, que es el primero en ejecutarse durante el arranque del sistema. Según los expertos de la compañía ESET, la funcionalidad del bootkit representa un serio desafío para la ciberseguridad.

Este bootkit utiliza un certificado autofirmado, lo que impide su ejecución en sistemas con la función Secure Boot habilitada, a menos que los atacantes hayan instalado previamente un certificado controlado. Sin embargo, incluso con Secure Boot activado, Bootkitty es capaz de modificar las funciones de verificación de integridad del núcleo en la memoria antes de iniciar el cargador GRUB.

Así, si la función Secure Boot está activada, Bootkitty se conecta a dos funciones de los protocolos de autenticación UEFI, eludiendo las verificaciones de integridad. Luego, modifica tres funciones en el cargador GRUB, lo que permite ignorar verificaciones de seguridad adicionales. Esto demuestra una grave vulnerabilidad en los sistemas modernos.

Durante la investigación, ESET descubrió un módulo del núcleo no firmado relacionado que implementa un archivo binario ELF llamado BCDropper. Este archivo carga otro módulo del núcleo desconocido después de iniciar el sistema. Entre las funciones del módulo se encuentran características típicas de rootkits, como la ocultación de archivos, procesos y la apertura de puertos de red.

Los expertos destacan que Bootkitty rompe el estereotipo de que los bootkits UEFI solo amenazan a sistemas Windows y señala la necesidad de prepararse para nuevas amenazas. Este descubrimiento podría ser un punto de partida para futuros desarrollos en la protección de plataformas Linux.

¿Estás cansado de que Internet sepa todo sobre ti?

¡Únete a nosotros y hazte invisible!

Noticias sobre el tema

15 años por creatividad: hacker convirtió un hackeo en método de empleo

Estudio sin protección: la universidad de Andrew Tate fue víctima de hackers

Batalla de algoritmos del siglo XXI: cómo la IA salvará la infraestructura de la OTAN

La Yakuza está alcanzando a los fugitivos: una filtración de datos podría costar la vida a miles de víctimas

Ataques de furgonetas de spammers: el phishing sobre ruedas está ganando popularidad entre los atacantes

Un error de una letra puede costarte millones: el aumento del typosquatting en criptomonedas

140 millones de cuentas en riesgo: ¿qué oculta Zello?

Pentágono: China ha colocado una ciberguerra en infraestructuras críticas de EE. UU.

Hackeo desde dentro: T-Mobile fue atacado a través de la red de un socio