Especialistas em segurança cibernética relataram a descoberta de um novo bootkit UEFI, chamado Bootkitty, projetado para sistemas Linux. Considerado uma prova de conceito (PoC), o Bootkitty, também conhecido como IranuKit, foi carregado na plataforma VirusTotal em 5 de novembro de 2024. Embora ainda não tenha sido utilizado em ataques reais, sua funcionalidade representa um sério risco para a segurança cibernética.
Leia também
TikTok é multado por violar privacidade de dados de crianças
Inovações em IA da Meta esbarram na legislação brasileira
A principal função do Bootkitty é desativar a verificação de assinatura do kernel Linux, permitindo pré-carregar dois arquivos ELF durante o processo init, que é executado logo após a inicialização do sistema. Apesar de usar um certificado autoassinado que o impede de funcionar em sistemas com Secure Boot ativado, o bootkit pode contornar essa limitação. Ele altera funções de verificação de integridade do kernel na memória antes do carregamento do gerenciador de inicialização GRUB.
Quando o Secure Boot está ativado, o Bootkitty consegue ignorar verificações de segurança ao modificar protocolos de autenticação UEFI e funções no GRUB. Isso evidencia vulnerabilidades significativas em sistemas modernos. Além disso, um módulo de kernel não assinado, identificado durante a investigação da ESET, implementa um binário ELF chamado BCDropper, que carrega outro módulo de kernel após a inicialização. Este módulo permite ocultar arquivos e processos e abrir portas de rede, características comuns de rootkits.
Essa descoberta refuta a ideia de que bootkits UEFI ameaçam exclusivamente sistemas Windows, destacando que plataformas Linux também estão vulneráveis. O Bootkitty demonstra como técnicas sofisticadas podem ser aplicadas para comprometer sistemas com inicialização segura, exigindo novas abordagens de segurança para mitigar essas ameaças emergentes.
Especialistas alertam que essa PoC pode servir como base para futuros desenvolvimentos de malware direcionado ao Linux. Eles recomendam que administradores de sistemas Linux reforcem as configurações de segurança, mantenham o firmware atualizado e implementem mecanismos de defesa contra modificações não autorizadas na inicialização.