בלינוקס זה כן היה קורה: איום UEFI מגיע למערכת ההפעלה בקוד פתוח
Bootkitty יכול לפגוע במערכת בזמן האתחול עם קוד זדוני שיהיה קשה לאתר או להסיר. חוקרי האבטחה שאיתרו את הנוזקה: כרגע זו רק הוכחת היתכנות, אבל האיום יוצא מגבולות ווינדוס
חתלתול האתחול. אילוסטרציה – pexels – Ruca Souza-
חוקרי סייבר גילו את "Bootkitty" (ובמילים שלנו: חתלתול האתחול), ככל הנראה ה-UEFI bootkit הראשון שמאיים ספציפית על מערכות לינוקס – וספציפית על גרסאות אובונטו. הנזק הפוטנציאלי של הבוטקיט הוא עקיפה של אמצעי האבטחה של לינוקס והטמעת קוד זדוני שיהיה קשה לגלות או להסיר.
בחברת המחקר ESET, שגילתה את האיום, מנסים להרגיע או לפחות להבהיר שיש זמן. "אנחנו מאמינים שבשלב זה ה-bootkit הוא הוכחת היתכנות ראשונה (POC) בלבד, ועל פי הנתונים שלנו הוא לא הותקן בשטח". עם זאת, המסר החשוב הוא שזה איום UEFI שלראשונה יוצא מגזרת הווינדוס ב-12 השנים האחרונות ומאיים גם על משתמשי לינוקס.
את השם החמוד Boot Kitty לבוטקיט עם הפוטנציאל המסוכן גילו החוקרים דרך פונקציה לא פעילה שמאפשרת להציג אותו על המסך באמנות ASCII. פונקציה נוספת מכילה שמות שייתכן שהם של מפתחי הבוטקיט, אולם החוקרים לא הצליחו לאמת את זהותם והסתירו אותם במחקר.
חתימת היוצרים של הבוטקיט. מתוך הבלוג של ESET
12 שנות איום
ב-2012, מספר חודשים אחרי שיצאו לראשונה לשוק לוחות האם שתומכים ב-UEFI, כבר פורסם מחקר של ITSEC שבו נחשפה פירצת אבטחה חמורה בחלונות 8 שמנצלת את השילוב המלא של טכנולוגיית EFI ב-Bootloader וב-Kernel של מערכת ההפעלה.
בשנת 2021, התגלו לראשונה שני בוטקיטים אמיתיים של UEFI בשטח: ESPecter ו-FinSpy. שנתיים לאחר מכן, בשנת 2023, הופיע BlackLotus, הבוטקיט הראשון המסוגל לעקוף את מנגנון ה-UEFI Secure Boot במערכות הפעלה מעודכנות.
איך הוא עובד?
לפי המחקר, המטרה המרכזית של הבוטקיט היא לנטרל את אימות החתימות ב-Kernel, ולהטמיע מראש שני קבצי ELF לא ידועים. זה נעשה דרך תהליך ה-init בזמן אתחול המערכת.
החוקרים מסבירים כי Bootkitty תומך כיום במספר מוגבל של מערכות בלבד, מכיוון שהוא משתמש בדפוסי בתים (byte patterns) קשיחים, וכי היוצרים שלו לא השתמשו בדפוסים האופטימליים לכיסוי גרסאות מרובות של ליבה או GRUB.
בנוסף, אומרים החוקרים, Bootkitty עלול להגיע למצב שבו הוא מבצע תיקון בקוד אקראי או בנתונים אקראיים לחלוטין באופסטים הקשיחים הללו, ובכך לגרום לקריסת המערכת אבל לא לפגוע בה. עם זאת, זה לא אומר שאין סכנה בבוטקיט, שכן ייתכן שזה באג שהיוצרים יתקנו.
מה עושים?
למרות שהגרסה הנוכחית אינה מהווה בשלב זה איום ממשי על רוב מערכות לינוקס, אומרים החוקרים, היא מדגישה את הצורך להיות מוכנים לאיומים אפשריים בעתיד.
העצה של ESET: כדי לשמור על מערכות הלינוקס מוגנות מפני איומים כאלה, יש לוודא שמנגנון ה-UEFI Secure Boot מופעל, שהפירמוור של המערכת ושמערכת ההפעלה מעודכנות, וכן שרשימת ה-revocations של ה-UEFI מעודכנת.
