Bootkitty utilise un certificat auto-signé, ce qui nécessite que les attaquants aient déjà un accès au système pour contourner les protections Secure Boot en installant leur propre certificat. Cela suggère que Bootkitty fait partie d’une chaîne d’attaque plus large. En outre, les chercheurs ont découvert un module noyau potentiellement lié, appelé BCDropper, conçu pour exécuter des fonctions malveillantes supplémentaires, étendant davantage la portée de la menace.
La découverte de Bootkitty est significative, car elle marque la première instance d’un bootkit ciblant les systèmes Linux. Jusqu’à présent, les bootkits visaient exclusivement les dispositifs Windows, tels que BlackLotus en 2023 et ESPecter en 2021, capables de contourner les protections Secure Boot. Les chercheurs d’Eset ont noté que Bootkitty semble actuellement fonctionner davantage comme une preuve de concept que comme une menace cybernétique pleinement développée. Pour le moment, son impact est limité à certaines versions d’Ubuntu, réduisant sa menace immédiate à l’écosystème Linux plus large. Cependant, les chercheurs avertissent que son existence souligne la nécessité de se préparer aux menaces futures potentielles à mesure que les attaquants perfectionnent ces techniques.
Pour se protéger contre des menaces comme Bootkitty, les chercheurs recommandent de s’assurer que le Secure Boot UEFI est activé et de maintenir le micrologiciel du système, les logiciels de sécurité et les correctifs du système d’exploitation à jour. Des mises à jour régulières de la liste de révocation UEFI sont également essentielles pour bloquer les certificats compromis. Bien que la version actuelle de Bootkitty représente un risque limité, sa découverte sert de rappel critique de la sophistication croissante des menaces cybernétiques ciblant les systèmes Linux et de l’importance de mettre en œuvre des mesures de sécurité proactives pour atténuer les risques émergents.
Source: BankInfoSecurity
La European Cyber Intelligence Foundation est un think tank à but non lucratif spécialisé dans le renseignement et la cybersécurité, offrant des services de conseil aux entités gouvernementales. Pour atténuer les menaces potentielles, il est important de mettre en œuvre des mesures supplémentaires de cybersécurité avec l’aide d’un partenaire de confiance comme INFRA www.infrascan.net, ou vous pouvez essayer vous-même en utilisant check.website.