Pesquisadores de segurança cibernética revelaram uma nova ameaça significativa no campo da proteção de sistemas Linux: o Bootkitty, um bootkit UEFI desenvolvido para atacar o kernel Linux. Criado pelo grupo BlackCat, o Bootkitty é descrito como um protótipo (proof-of-concept) e ainda não foi registrado em ataques reais. O arquivo foi inicialmente carregado na plataforma VirusTotal em 5 de novembro de 2024, sendo também rastreado sob o nome IranuKit.
Descoberta de Bootkit UEFI para Linux alerta sobre novas ameaças de segurança no cenário cibernético
A principal função do Bootkitty é desabilitar a verificação de assinatura do kernel e carregar dois binários ELF ainda desconhecidos através do processo de inicialização do Linux, também conhecido como init. Este processo é o primeiro a ser executado pelo kernel quando o sistema é iniciado. De acordo com os pesquisadores da ESET, Martin Smolár e Peter Strý?ek, o Bootkitty utiliza técnicas de hook em duas funções dos protocolos de autenticação UEFI, permitindo que a integridade do sistema seja contornada, mesmo que o UEFI Secure Boot esteja habilitado.
Uma característica importante do Bootkitty é que ele é assinado com um certificado autoassinado, o que impede sua execução em sistemas com o Secure Boot ativo, a menos que um certificado controlado por um atacante já tenha sido instalado. No entanto, mesmo com o Secure Boot ativo, o bootkit consegue modificar a memória para alterar as respostas de verificação de integridade do sistema antes da execução do GRUB (o carregador de inicialização utilizado no Linux).
Notícias Relacionadas
Inovação tecnológica
Tencent inova com console portátil 3D de 11 polegadas
Tencent desenvolve um console portátil com tela 3D sem óculos, utilizando rastreamento ocular. Equipado com display de 11 polegadas, 2.5K e 120Hz, promete redefinir o mercado.
Combate ao Cibercrime e Fraude
Combate à Cibercriminação: Microsoft, Meta e DoJ Desmantelam Redes Globais de Fraude e Crime Cibernético
Microsoft, Meta e DoJ desmantelam redes globais de fraude e crime cibernético, atacando phishing, vendas ilegais e operações fraudulentas.
Além disso, a investigação revelou um módulo de kernel não assinado que pode instalar um binário ELF denominado BCDropper, que carrega outro módulo de kernel desconhecido após a inicialização do sistema. Esse módulo é projetado para esconder arquivos e processos, além de abrir portas no sistema, características típicas de um rootkit.
Embora o Bootkitty ainda seja considerado uma prova de conceito, a pesquisa aponta uma mudança importante no cenário de ameaças cibernéticas, quebrando a ideia de que os bootkits UEFI seriam exclusividade de sistemas Windows. A descoberta enfatiza a necessidade de estar preparado para futuras ameaças que podem afetar tanto sistemas Windows quanto Linux.
