Logiciel malveillant Bootkitty
Des chercheurs en cybersécurité ont dévoilé ce qui est décrit comme le tout premier bootkit UEFI (Unified Extensible Firmware Interface) spécialement conçu pour cibler les systèmes Linux. Ce nouveau développement, appelé Bootkitty, représente un changement significatif dans le paysage des cybermenaces, qui a traditionnellement vu les bootkits UEFI principalement associés aux plateformes Windows.
Table des matières
Bootkitty : preuve de concept ou menace émergente ?
Découvert le 5 novembre 2024, Bootkitty est considéré comme une preuve de concept (PoC) plutôt qu'une menace déployée activement. Également appelé IranuKit, il n'existe actuellement aucune preuve suggérant son utilisation dans des attaques réelles. Créé par un développeur opérant sous le pseudonyme BlackCat, le but principal du bootkit est de désactiver la vérification de la signature du noyau Linux tout en préchargeant deux binaires ELF non encore identifiés pendant le processus d'initialisation de Linux. Ce processus, qui sert de point de départ au noyau lors du démarrage du système, est crucial pour la sécurité opérationnelle de Linux.
Exploiter l'UEFI pour Linux : une nouvelle dimension de risque
L'émergence de Bootkitty remet en cause la perception de longue date selon laquelle les bootkits UEFI sont exclusifs aux systèmes Windows. Avec ce développement, les utilisateurs de Linux sont désormais confrontés à une nouvelle voie d'exploitation potentielle. Le bootkit utilise un certificat auto-signé pour exécuter sa charge utile, ce qui limite ses fonctionnalités sur les systèmes sur lesquels UEFI Secure Boot est activé. Cependant, il pourrait toujours fonctionner si les attaquants parviennent à installer un certificat frauduleux sous leur contrôle.
En plus de contourner Secure Boot, Bootkitty manipule la mémoire du noyau Linux pendant le processus de démarrage, compromettant ainsi les contrôles d'intégrité. Avant l'exécution du GNU GRand Unified Bootloader (GRUB), le bootkit intercepte et corrige les fonctions essentielles à la vérification de l'intégrité. Cette stratégie d'attaque multicouche démontre une compréhension sophistiquée des composants internes de l'UEFI et du système Linux.
Cibler Secure Boot et GRUB : techniques avancées en jeu
Lorsque Secure Boot est activé, Bootkitty modifie les protocoles d'authentification UEFI pour contourner les contrôles d'intégrité. Il corrige également les fonctions légitimes du chargeur de démarrage GRUB pour éviter toute détection, garantissant ainsi sa capacité à exécuter des charges utiles non sécurisées. Ces correctifs s'étendent au processus de décompression du noyau Linux, permettant au bootkit de charger des modules non autorisés au démarrage.
Pour faciliter son attaque, Bootkitty modifie la variable d'environnement LD_PRELOAD. Cet ajustement force le processus d'initialisation de Linux à charger deux objets partagés ELF inconnus, identifiés comme « /opt/injector.so » et « /init », étendant ainsi la portée du bootkit aux opérations système.
BCDropper et BCObserver : un cadre plus large ?
Les recherches sur Bootkitty ont permis de découvrir un module de noyau non signé potentiellement lié appelé BCDropper. Ce module est capable de déployer un binaire ELF appelé BCObserver, qui, à son tour, charge un autre module de noyau non identifié au démarrage du système. Fonctionnant sous le même pseudonyme BlackCat, ce module supplémentaire présente des fonctionnalités typiques des rootkits, telles que le masquage de fichiers, de processus et de ports réseau. Malgré ces capacités avancées, les chercheurs n'ont trouvé aucune preuve reliant cette activité au groupe de ransomware ALPHV/BlackCat.
Conséquences pour la sécurité UEFI et les systèmes Linux
Bien qu'il soit toujours considéré comme une preuve de concept, Bootkitty marque un nouveau chapitre dans l'évolution des bootkits UEFI, étendant leur portée au-delà des environnements Windows. Cette évolution souligne l'importance de se préparer aux menaces futures potentielles dans les systèmes basés sur Linux, qui ont longtemps été considérés comme moins vulnérables à de telles attaques.
L’essor de Bootkitty souligne également la nécessité de mesures de sécurité système vigilantes, telles que la mise à jour constante du firmware, l’utilisation de certificats de confiance et l’activation du démarrage sécurisé chaque fois que cela est possible. En démontrant la faisabilité des bootkits UEFI sur Linux, Bootkitty sert de signal d’alarme aux professionnels de la cybersécurité et aux utilisateurs de Linux pour renforcer leurs défenses.
