Le premier kit de démarrage UEFI ciblant spécifiquement les systèmes Linux a été découvert, marquant un changement dans les menaces de kit de démarrage furtives et difficiles à supprimer qui se concentraient auparavant sur Windows.
Nommé « Bootkitty », le malware Linux est une preuve de concept qui ne fonctionne que sur certaines versions et configurations d’Ubuntu plutôt qu’une menace à part entière déployée lors d’attaques réelles.
Les kits de démarrage sont des logiciels malveillants conçus pour infecter le processus de démarrage d’un ordinateur, se chargeant avant le système d’exploitation et lui permettant de prendre le contrôle d’un système à un niveau très bas.
L’avantage de cette pratique est que les kits de démarrage peuvent échapper aux outils de sécurité exécutés au niveau du système d’exploitation et modifier les composants du système ou injecter du code malveillant sans risquer d’être détectés.
Les chercheurs d’ESET qui ont découvert Bootkitty avertissent que son existence est une évolution significative dans l’espace des menaces de bootkit UEFI malgré les implications actuelles du monde réel.
Un kit de démarrage Linux en préparation
ESET a découvert Bootkitty après avoir examiné un fichier suspect (bootkit.efi) téléchargé sur VirusTotal en novembre 2024.
Après analyse, ESET a confirmé qu’il s’agissait du premier cas d’un kit de démarrage Linux UEFI à contourner la vérification de la signature du noyau et à précharger les composants malveillants pendant le processus de démarrage du système.
Bootkitty s’appuie sur un certificat auto-signé, il ne s’exécutera donc pas sur les systèmes avec le démarrage sécurisé activé et ne cible que certaines distributions Ubuntu.
De plus, les décalages codés en dur et la correspondance simpliste des motifs d’octets le rendent utilisable uniquement sur des versions spécifiques de GRUB et du noyau, il n’est donc pas adapté à un déploiement généralisé.
ESET note également que le malware contient de nombreuses fonctions inutilisées et gère mal la compatibilité de la version du noyau, entraînant souvent des pannes du système.
La nature boguée du malware et le fait que la télémétrie d’ESET ne montre aucun signe de Bootkitty sur les systèmes en direct ont conduit les chercheurs à conclure qu’il en était aux premiers stades de développement.
Les capacités de Bootkit
Pendant le démarrage, Bootkitty accroche les protocoles d’authentification de sécurité UEFI (EFI_SECURITY2_ARCH_PROTOCOL et EFI_SECURITY_ARCH_PROTOCOL) pour contourner les contrôles de vérification d’intégrité de Secure Boot, garantissant ainsi le chargement du kit de démarrage indépendamment des stratégies de sécurité.
Ensuite, il accroche diverses fonctions GRUB comme ‘start_image’ et ‘grub_verifiers_open’ pour manipuler les vérifications d’intégrité du chargeur de démarrage pour les binaires, y compris le noyau Linux, en désactivant la vérification de la signature.
Bootkitty intercepte ensuite le processus de décompression du noyau Linux et accroche la fonction’ module_sig_check’. Cela l’oblige à toujours renvoyer le succès lors des vérifications des modules du noyau, ce qui permet au logiciel malveillant de charger des modules malveillants.
En outre, il remplace la première variable d’environnement par ‘LD_PRELOAD= / opt/ injector. so’ afin que la bibliothèque malveillante soit injectée dans les processus au lancement du système.
Tout ce processus laisse derrière lui plusieurs artefacts, certains intentionnels et d’autres non, explique ESET, ce qui est une autre indication du manque de raffinement de Bootkitty.
Les chercheurs ont également noté que le même utilisateur qui a téléchargé Bootykitty sur VT a également téléchargé un module de noyau non signé nommé « BCDropper », mais les preuves disponibles lient faiblement les deux.
BC Dropper supprime un fichier ELF nommé « BC Observer », un module du noyau doté d’une fonctionnalité de rootkit qui masque les fichiers, les processus et ouvre les ports sur le système infecté.
La découverte de ce type de malware illustre comment les attaquants développent des logiciels malveillants Linux qui étaient auparavant isolés sur Windows alors que l’entreprise adopte de plus en plus Linux.
Des indicateurs de compromission (IOC) associés à Boot kitty ont été partagés sur ce référentiel GitHub.