Исследователи ESET сообщили о первом UEFI-бутките, нацеленном на Linux-системы. До этого злоумышленники использовали такого рода вредоносное ПО только для атак на компьютеры под управлением Windows, пишет BleepingComputer.

Буткит Bootkitty (IranuKit) был загружен на платформу VirusTotal 5 ноября 2024 года в виде файла bootkit.efi. Как утверждают в ESET, по ряду признаков Bootkitty представляет собой подтверждение осуществимости атаки (proof-of-concept), которое работает только на некоторых версиях и конфигурациях Ubuntu и не является полноценной угрозой, используемой в реальных атаках.

«Независимо от того, является ли это проверкой концепции или нет, Bootkitty знаменует собой интересный шаг вперед в ландшафте угроз UEFI, разрушая убеждение, что современные буткиты UEFI являются угрозами, эксклюзивными для Windows», — заявили исследователи, добавив, что появление буткита «подчеркивает необходимость быть готовым к потенциальным будущим угрозам».

Источник изображений: ESET

Как сообщили в ESET, основная цель буткита — отключить функцию проверки подписи ядра и предварительно загрузить два пока не известных двоичных файла ELF в процессе инициализации ядра. Bootkitty использует самоподписанный сертификат, поэтому он не будет выполняться в системах с включенной функцией Secure Boot, если только контролируемый злоумышленником сертификат уже не был прописан ранее.

Во время загрузки компьютера буткит перехватывает функции в протоколах аутентификации безопасности UEFI, чтобы обойти проверки целостности Secure Boot, гарантируя загрузку буткита независимо от политик безопасности. После этого он подменяет функции проверки целостности и наличия подписи в загрузчике GRUB, в том числе для образа ядра. Затем Bootkitty перехватывает процесс распаковки ядра Linux и подменяет функцию проверки модулей ядра. Наконец, он позволяет прописать в LD_PRELOAD любую библиотеку, которая будет первой загружаться при запуске системы.

Индикаторы компрометации (IoC), связанные с Bootkitty, были опубликованы в репозитории GitHub.

Компания «НумаТех» выполнила доработку и адаптацию Numa BIOS для функционирования в составе специализированной аппаратной платформы, разработанной для создания встраиваемых решений и программно-технических средств защиты информации — мини-компьютера АТБ-АТОМ-1.3.

Названное устройство заключено в корпус с габаритами 150 × 150 × 30 мм. Максимальная конфигурация включает процессор Intel Atom E3845 поколения Bay Trail (4 ядра; 4 потока; 1,91 ГГц; 10 Вт). Объём оперативной памяти DDR3L-1067 (non-ECC) достигает 8 Гбайт.

Источник изображения: «АТБ Электроника»

Numa BIOS — российский UEFI BIOS (в реестре российского ПО: рег. №5467 от 24.06.2019), являющийся полноценной альтернативой иностранным BIOS для средств вычислительной техники, построенных на платформах Intel и AMD под архитектуру x86/x64. Отмечается, что Numa BIOS не является «коробочным», кроссплатформенным продуктом, а его разработка и адаптация требует существенного инженерного потенциала и осуществляется для использования на каждой отдельной аппаратной платформе с учётом схемотехнической реализации и архитектурных особенностей такой платформы.

Использование АТБ-АТОМ-1.3 с системой Numa BIOS и модулем доверенной загрузки Numa Arce (сертификат ФСБ России №СФ/527-4532 от 26.06.2023 года) открывает возможности для создания новых комплексных решений, в частности, криптографических шлюзов класса КС2/КС3, реализованных на базе программно-технических межсетевых экранов.