• En novembre 2024, une appli jusque-là inconnue, nommée bootkit.efi, a été téléchargée sur VirusTotal. Après vérification, ESET Research a découvert qu'il s'agissait d'une appli UEFI.
• Une analyse approfondie a confirmé qu'il s'agissait d'un bootkit UEFI, dénommé Bootkitty. En novembre 2024, une appli encore inconnue, nommée bootkit.efi, a été téléchargée sur VirusTotal. C’est le premier bootkit UEFI ciblant Linux et plusieurs versions d'Ubuntu. Il contient de nombreux éléments suggérant que c’est plus une preuve de concept que le travail d'un acteur malveillant.
• ESET Research a aussi découvert un module de noyau potentiellement lié, nommé BCDropper par ESET, qui déploie un programme Linux ELF (Executable and Linking Format) responsable de charger un autre module de noyau.
BRATISLAVA, le 27 novembre 2024 — ESET Research a découvert le premier bootkit UEFI conçu pour les systèmes Linux, appelé Bootkitty par ses créateurs. ESET estime que ce bootkit est une première preuve de concept et qui, d’après sa télémétrie, n’a pas été déployé ‘in the wild’. Il s’agit de la première preuve que les bootkits UEFI ne sont plus uniquement limités aux systèmes Windows. L’objectif principal du bootkit est de désactiver la fonction de vérification de signature du noyau et de pré-charger deux binaires ELF encore inconnus via le processus «init» de Linux (le premier processus exécuté par le noyau Linux lors du démarrage du système).
L'appli UEFI, jusque-là inconnue et dénommée «bootkit.efi», a été téléchargée sur VirusTotal. Bootkitty est signée par un certificat auto-signé et ne peut donc pas s'exécuter sur des systèmes avec UEFI Secure Boot activé par défaut. Bootkitty est conçu pour démarrer, de manière transparente, le noyau Linux que UEFI Secure Boot soit ou non activé, car il corrige, en mémoire, les fonctions nécessaires à la vérification de l'intégrité.
Le bootkit est un rootkit avancé pouvant remplacer le chargeur de démarrage et corriger le noyau avant son exécution. Bootkitty permet à l'attaquant de prendre le contrôle total de la machine affectée, car il coopte le processus de démarrage de la machine et exécute des logiciels malveillants avant même que le système d'exploitation n'ait démarré.
Lors de l'analyse, ESET a découvert un module de noyau non signé, potentiellement lié qu'il a nommé BCDropper – avec des signes suggérant qu'il aurait été développé par le(s) même(s) auteur(s) que Bootkitty. Il déploie un binaire ELF responsable du chargement d'un autre module de noyau inconnu au moment de l'analyse.
«Bootkitty contient de nombreux artefacts, ce qui indique qu’il s’agirait plus d’une preuve de concept que du travail d’un acteur malveillant. Si la version actuelle de VirusTotal n’est pas une menace réelle pour la majorité des systèmes Linux, car elle ne peut affecter que quelques versions d’Ubuntu, elle souligne la nécessité d’être préparé aux menaces futures», explique Martin Smolár, le chercheur d’ESET, qui a analysé Bootkitty. Il ajoute : «Pour protéger vos systèmes Linux contre de ces menaces, assurez-vous que le démarrage sécurisé UEFI est activé, que le micro logiciel du système, les logiciels de sécurité et le système d’exploitation sont à jour, ainsi que la liste de révocations UEFI ».
Après avoir démarré un système avec Bootkitty dans l’environnement de test ESET, les chercheurs ont remarqué que le noyau était indiqué comme contaminé (une commande peut être utilisée pour vérifier la valeur contaminée) et ce ne l’était pas si le bootkit était absent. Une autre façon de savoir si le bootkit se trouve sur le système avec UEFI Secure Boot activé, est de tenter de charger un module de noyau factice non signé pendant l’exécution. S’il est présent, le module sera chargé, sinon le noyau refuse de le charger. Pour se débarrasser simplement du bootkit, lorsqu’il est déployé sous «/EFI/ubuntu/grubx64.efi», il faut déplacer le fichier légitime «/EFI/ubuntu/grubx64-real.efi » vers son emplacement d’origine, qui est «/EFI/ubuntu/grubx64.efi».
Ces dernières années, le paysage des menaces UEFI, et en particulier celui des bootkits UEFI, a beaucoup évolué. Cela a commencé avec la première preuve de concept (PoC) de bootkit UEFI, décrite par Andrea Allievi en 2012 et qui a servi de démonstration du déploiement de bootkits sur des systèmes Windows modernes basés UEFI. Elle a été suivie de nombreux autres PoC (EfiGuard, Boot Backdoor, UEFI-bootkit). Il a fallu plusieurs années pour que les deux premiers vrais bootkits UEFI soient découverts ‘in the wild’ (l'un d'eux était ESPecter en 2021, par ESET). Il a alors fallu attendre deux ans avant que le tristement célèbre BlackLotus, le premier bootkit UEFI capable de contourner UEFI Secure Boot sur des systèmes à jour, apparaisse (en 2023, découvert par ESET). Le point commun entre ces bootkits connus était leur ciblage exclusif des systèmes Windows.
Pour une analyse plus détaillée et technique de Bootkitty, consultez le dernier blog d'ESET Research “Bootkitty: Analyzing the first UEFI bootkit for Linux,” sur
www.welivesecurity.com/. Pour les dernières infos sur ESET Research, suivez ESET Research on Twitter (today known as X)
A PROPOS d’ESET ESET® offre une sécurité de pointe pour prévenir les attaques avant qu'elles ne se produisent. Avec la puissance de l'IA et l'expertise humaine, ESET conserve une longueur d'avance sur les menaces connues et émergentes, en sécurisant les mobiles, ses solutions et services basés sur l’IA et axés cloud sont efficaces et faciles à utiliser. La technologie ESET comprend une détection et une réponse robustes, un cryptage ultra-sécurisé et une authentification multi facteur. Avec une défense en temps réel 24/7 et un solide support local, ESET assure la sécurité des utilisateurs et des entreprises sans interruption. Un paysage numérique en constante évolution exige une approche progressive de la sécurité : ESET dispose d’une recherche de classe mondiale et d’une puissante intelligence des menaces, soutenues par des centres de R&D ainsi qu’un réseau mondial de partenaires. Plus d'infos :
www.eset.com ou LinkedIn, Facebook, X et
https://www.eset.com/be-fr/.