I ricercatori di ESET hanno rilevato Bootkitty, il primo bootkit Uefi per Linux. “La minaccia di Bootkitty, mette in evidenza la necessità per le aziende di adottare misure preventive contro minacce sempre più sofisticate”, commenta Cesare Schiavone, Senior Cyber Security Consultant di Tinexta Cyber.
Ecco come mitigare il rischio.
Indice degli argomenti
Allarme Bootkitty, il primo bootkit Uefi per Linux
Bootkitty è un malware evoluto che apre una nuovo capitolo di cyber attacchi contro i sistemi operativi, compromettendo la (per altro falsa) percezione di Gnu/Linux come piattaforma intrinsecamente sicura. Purtroppo, sono spesso le vulnerabilità la porta d’ingresso negli OS, dunque l’anello debole è il fattore umano su ogni ecosistema.
Sfruttando falle del processo di avvio dei sistemi Linux tramite il firmware UEFI, un elemento in grado di operare a un livello profondo del sistema, Bootkitty intralcia le prime fasi dell’avvio per violare l’integrità del sistema operativo. Per questo motivo, il malware è complesso da rilevare e resiste pervicacemente alle operazioni di rimozione.
Scoperto il 5 novembre scorso, il malware avanzato potrebbe in realtà essere ancora in fase proof-of-concept, anche se il suo livello di sofisticazione lo catapulta fra gli strumenti idonei per attacchi mirati a persone di elevato profilo.
Attacco in 5 fasi
L’attacco prevede inizialmente l’infiltrazione del malware nella partizione di sistema UEFI, dove cambia o rimpiazza file critici come shimx64.efi, diventando il veicolo per il caricamento del bootkit dentro il sistema, aggirando le tutele standard di security.
A questo punto, Bootkitty mette nel mirino Grub, il bootloader popolare su Linux, al fine di manipolarlo. La modifica permette di disattivare la verifica delle firme digitali, assicurando così il caricamento di file binari dannosi nel corso del processo di avvio.
In fase di decompressione del kernel Linux, punta a comprometterlo, cambiando le opzioni di controllo dell’integrità e caricando codice dannoso. L’obiettivo del primo bootkit UEFI per Linux consiste nell’aggirare i controlli di sicurezza e iniettare moduli malevoli.
Manipolando la variabile LD_Preload, Bootkitty punta a caricare file ELF ignoti come /opt/injector.so e /init. La loro esecuzione prima di inizializzare completamente il sistema, consente al malware l‘installazione a livello profondo.
Infine il modulo kernel BCDropper permette il mantenimento della persistenza e l’occultamento di file, processi e porte di comunicazione, in stile rootkit.
Come proteggersi
Per mitigare il rischio di un bootkit Uefi per Linux, occorre adottare le best practice per mettere il proprio sistema operativo in sicurezza.
“È fondamentale abilitare il Secure Boot su tutti i dispositivi aziendali per impedire che malware non autorizzati compromettano i processi di avvio”, avverte Cesare Schiavone: “Inoltre, il monitoraggio continuo dell’integrità del sistema, attraverso strumenti che analizzano eventuali modifiche al firmware e al bootloader, è essenziale per individuare anomalie in tempo reale“.
Un altro aspetto cruciale consiste nel mantenere i firmware costantemente aggiornati. E non solo i firmware, ma anche “kernel e software di sicurezza per chiudere eventuali vulnerabilità sfruttabili dai criminali informatici – mette in evidenza Schiavone -. Non meno importante è la formazione del personale IT, che deve essere preparato a riconoscere e affrontare minacce avanzate attraverso simulazioni di attacco e aggiornamenti formativi“.
Infatti, consapevolezza e formazione costante rappresentano altre buone pratiche per una corretta postura di sicurezza.
“Le aziende dovrebbero anche investire in soluzioni avanzate di sicurezza, come sistemi di Endpoint Detection and Response (EDR), e assicurarsi di avere un piano solido per il backup e il ripristino in caso di compromissione. Infine, audit di sicurezza regolari e test di penetrazione possono aiutare a identificare e correggere le vulnerabilità prima che siano sfruttate”, conclude Cesare Schiavone.
