En un giro significativo en el mundo de la ciberseguridad, los investigadores han descubierto el que se describe como el primer bootkit UEFI diseñado específicamente para sistemas Linux.
Apodado Bootkitty, este bootkit ha sido desarrollado por el grupo conocido como BlackCat, que lo ha presentado como una prueba de concepto (PoC).
Aunque hasta el momento no se ha encontrado evidencia de que se haya utilizado en ataques reales, el descubrimiento marca un cambio importante en el tipo de amenazas a las que se enfrentan los sistemas basados en Linux.
¿Qué es un Bootkit UEFI?
Un bootkit es un tipo de malware que se instala en la secuencia de arranque de un sistema, generalmente en el proceso de arranque del firmware o en el cargador de arranque, para garantizar que se cargue antes de que el sistema operativo.
En este caso, el bootkit Bootkitty está diseñado para trabajar con el Interfaz de Firmware Extensible Unificada (UEFI) que es el sistema de firmware moderno que reemplaza al tradicional BIOS en la mayoría de las computadoras actuales.
El Bootkitty se distingue por su capacidad para manipular directamente el proceso de arranque de Linux y el cargador de arranque GRUB, el cual es crucial para iniciar el sistema operativo.
El bootkit realiza una serie de modificaciones en la memoria y parchea el sistema para eludir las comprobaciones de integridad y permitir que el código malicioso se ejecute sin ser detectado.
¿Cómo Funciona Bootkitty?
El bootkit tiene como objetivo principal desactivar la verificación de la firma del kernel de Linux. El kernel es el núcleo del sistema operativo, y su seguridad es esencial para el funcionamiento seguro del sistema.
Una vez que la verificación de la firma se ha desactivado, el bootkit puede precargar dos binarios ELF (Executable and Linkable Format) desconocidos a través del proceso init de Linux.
Este proceso es el primero que se ejecuta cuando el sistema operativo se inicia, lo que le otorga al bootkit un acceso privilegiado al sistema desde el inicio.
A pesar de que el bootkit está firmado por un certificado autofirmado, lo que significa que no puede ejecutarse en sistemas con Arranque Seguro UEFI habilitado, los atacantes podrían instalar el certificado controlado por ellos para sortear esta restricción.
En otras palabras, el Bootkitty puede instalarse en un sistema con arranque seguro desactivado o si el atacante previamente ha comprometido la seguridad del arranque.
Modificaciones al Cargador de Arranque GRUB
Una vez que el bootkit ha pasado el control, modifica las funciones de los protocolos de autenticación UEFI. Esto permite eludir las comprobaciones de integridad UEFI, que son fundamentales para garantizar que el software cargado sea legítimo y no esté comprometido.
Además, Bootkitty aplica parches a varias funciones en el cargador de arranque GRUB (GNU GRand Unified Bootloader), una parte esencial del proceso de inicio en sistemas Linux, para evitar las verificaciones de seguridad que normalmente se llevarían a cabo.
Descubrimiento de Módulo de Kernel No Firmado
La investigación también llevó al descubrimiento de un módulo de kernel no firmado que está relacionado con el Bootkitty. Este módulo implementa un binario conocido como BCDropper que carga otro módulo de kernel aún desconocido después de que el sistema se ha iniciado.
Los módulos del kernel tienen acceso profundo al sistema, lo que los convierte en una herramienta poderosa para los atacantes que buscan mantener el control sobre el sistema sin ser detectados.
El módulo de kernel también incluye funciones asociadas a los rootkits, como la capacidad de ocultar archivos y procesos y abrir puertos de red para permitir el acceso remoto al sistema.
Estos comportamientos son típicos de un rootkit, un tipo de malware diseñado para obtener y mantener privilegios elevados en un sistema sin ser detectado.
Implicaciones y Futuro de las Amenazas UEFI
Este descubrimiento representa un cambio en el panorama de las amenazas cibernéticas. Los bootkits UEFI, que tradicionalmente se limitaban a los sistemas Windows, ahora son una amenaza real para los sistemas basados en Linux.
La capacidad de los atacantes para comprometer el proceso de arranque de un sistema, incluso en entornos con Arranque Seguro UEFI, resalta la necesidad de una mayor protección en las primeras etapas del inicio del sistema.
Aunque el Bootkitty aún no se ha utilizado en ataques en el mundo real, su existencia subraya la creciente sofisticación de los ciberataques que están evolucionando para eludir las medidas de seguridad tradicionales, como las verificaciones de integridad de UEFI.
A medida que los investigadores continúan profundizando en este bootkit y sus métodos, es probable que veamos más esfuerzos por parte de la comunidad de seguridad para reforzar las defensas contra este tipo de malware avanzado.
Conclusión
El descubrimiento de Bootkitty marca un nuevo capítulo en las amenazas cibernéticas dirigidas a sistemas Linux y demuestra cómo los atacantes están adoptando enfoques innovadores para eludir las defensas tradicionales.
Aunque aún no hay evidencia de que haya sido utilizado en ataques reales, este bootkit UEFI y su capacidad para manipular el arranque y el kernel de Linux destacan la necesidad de medidas de seguridad más estrictas y la continua vigilancia frente a amenazas avanzadas.
A medida que las amenazas evolucionan, es esencial que tanto las empresas como los usuarios finales permanezcan atentos a las últimas investigaciones y desarrollos en el ámbito de la ciberseguridad para proteger sus sistemas frente a este tipo de ataques altamente sofisticados.