Recientemente, se ha identificado un nuevo bootkit de UEFI llamado «Bootkitty», que marca la primera incursión en amenazas dirigidas a sistemas Linux a través de esta tecnología. El bootkit ha sido desarrollado por estudiantes de ciberseguridad en el programa de formación «Best of the Best» de Corea. La intención de este proyecto es crear conciencia sobre los riesgos potenciales para la seguridad y fomentar medidas proactivas para evitar amenazas similares. Sin embargo, el análisis sugiere que se trata más de un prototipo inicial que de un malware listo para ser utilizado por actores de amenazas.
La evolución de la superficie de ataque de UEFI ha sido significativa en los últimos años. Desde el primer bootkit conocido en 2012, la industria ha visto la aparición de varios conceptos de prueba, pero la mayoría de ellos se han dirigido exclusivamente a sistemas Windows. Con Bootkitty, este paradigma ha cambiado, mostrando que las amenazas UEFI pueden extenderse también a los sistemas Linux.
Bootkitty, diseñado para deshabilitar la verificación de firma del núcleo en versiones específicas de Ubuntu, se subió a VirusTotal en noviembre de 2024. Está firmado con un certificado auto-firmado, lo que significa que no puede ejecutarse en sistemas con UEFI Secure Boot habilitado a menos que se instalen certificados de los atacantes. Su objetivo es cargar dos binarios ELF desconocidos durante el inicio del proceso Linux, lo que indica una técnica de inyección potencialmente peligrosa.
A pesar de su capacidad funcional, Bootkitty contiene numerosos elementos que sugieren que no es un producto de un atacante activo. Por ejemplo, incluye funciones no utilizadas que podrían ser consideradas artefactos de su desarrollo inicial. Además, el bootkit sólo es totalmente funcional en un número limitado de configuraciones de sistemas, lo que subraya su naturaleza de prueba de concepto.
En términos de impacto y mitigación, es crucial que los usuarios de sistemas Linux mantengan activado el UEFI Secure Boot y que sus sistemas estén actualizados. Bootkitty resalta la necesidad de estar preparados ante posibles amenazas futuras, especialmente considerando que los bootkits han demostrado ser una forma eficaz de comprometer sistemas desde su fase de arranque.
Fuente: WeLiveSecurity by eSet.
