Bootkitty utilizza un certificato autofirmato, richiedendo agli attaccanti di avere già accesso al sistema per bypassare le protezioni di Secure Boot installando il proprio certificato. Questo suggerisce che Bootkitty faccia parte di una catena di attacchi più ampia. Inoltre, i ricercatori hanno scoperto un modulo kernel potenzialmente correlato, denominato BCDropper, progettato per eseguire ulteriori azioni dannose, ampliando ulteriormente la portata della minaccia.
La scoperta di Bootkitty è significativa poiché rappresenta il primo caso di un bootkit che prende di mira i sistemi Linux. Fino ad ora, i bootkit erano rivolti esclusivamente ai dispositivi Windows, come BlackLotus nel 2023 e ESPecter nel 2021, entrambi in grado di aggirare le protezioni di Secure Boot. I ricercatori di Eset hanno osservato che Bootkitty attualmente sembra funzionare più come una prova di concetto che come una minaccia completamente sviluppata. Al momento, il suo impatto è limitato a determinate versioni di Ubuntu, riducendo la sua minaccia immediata all’ecosistema Linux più ampio. Tuttavia, gli esperti avvertono che la sua esistenza evidenzia la necessità di vigilare contro potenziali minacce future mentre gli attaccanti perfezionano tali tecniche.
Per proteggersi da minacce come Bootkitty, i ricercatori consigliano di assicurarsi che il Secure Boot UEFI sia abilitato e di mantenere aggiornati il firmware di sistema, il software di sicurezza e le patch del sistema operativo. Anche gli aggiornamenti regolari alla lista di revoca UEFI sono essenziali per bloccare i certificati compromessi. Sebbene l’attuale versione di Bootkitty rappresenti un rischio limitato, la sua scoperta serve come promemoria critico dell’aumento della sofisticazione delle minacce informatiche rivolte ai sistemi Linux e dell’importanza di misure di sicurezza proattive per mitigare i rischi emergenti.
Source: BankInfoSecurity
La European Cyber Intelligence Foundation è un think tank no-profit specializzato in intelligence e sicurezza informatica, che offre servizi di consulenza agli enti governativi. Per mitigare potenziali minacce, è importante implementare ulteriori misure di sicurezza informatica con l’aiuto di un partner affidabile come INFRA www.infrascan.net, oppure puoi provare tu stesso utilizzando check.website.