Linux, який довгий час вважався безпечним вибором для серверів і ПК, стає все більш привабливою мішенню для кіберзлочинців. Зловмисники, які раніше зосереджувалися на Windows, тепер намагаються проникнути в найнижчі рівні ядра Linux.
Як повідомляє Tech Spot, новий шкідливий програмний код, названий Bootkitty, був виявлений аналітиками ESET. Це перший UEFI bootkit, виявлений для Linux. Bootkitty був знайдений у раніше невідомому застосунку UEFI (bootkit.efi), який завантажили на VirusTotal.
Що таке Bootkits і як вони працюють
Bootkits, також як відомий BlackLotus, — це тип шкідливого програмного забезпечення, створеного для інфікування стартового етапу операційної системи. Вони ховаються від антивірусного захисту, змінюючи або замінюючи завантажувач або процес завантаження системи. Таким чином, зловмисники отримують повний контроль над ОС і програмами користувачів.
«Bootkitty — це нова загроза, яка націлена на Linux, хоч і працює лише з деякими версіями Ubuntu»,— зазначили європейські дослідники.
Як працює Bootkitty:
- Bootkitty включає процедури для обходу функцій у прошивці UEFI, ядрі Linux і завантажувачі GRUB.
- Malware може теоретично завантажувати ядро Linux навіть при активованому Secure Boot.
- Після завантаження шкідливий код впроваджується у процеси програм.
Попри високий рівень складності, Bootkitty не працює як слід. Аналітики ESET виявили, що bootkit містить артефакти й недопрацьовані функції, що свідчить про те, що його розроблення ще триває.
Дослідники також знайшли пов’язаний модуль ядра під назвою BCDropper, створений для запуску ELF-програм (Linux) і додаткового завантаження модулів ядра.
Потенційна небезпека для Linux
Хоча Bootkitty все ще перебуває на етапі доказу концепції (proof-of-concept), він є значним розвитком у ландшафті загроз UEFI. Bootkits і rootkits UEFI раніше орієнтувалися виключно на Windows, але з розширенням використання Linux, ця платформа стає привабливим об’єктом для атак.
«Спільноті безпеки варто підготуватися до майбутніх загроз», — попередили в ESET.
Раніше ми повідомляли, що у новій атаці NachoVPN використовуються фальшиві сервери VPN для встановлення шкідливих оновлень.
Читайте також на сайті про офіційний реліз Linux Kernel 6.12: що нового.
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодної публікації!
