Bootkitty: El primer bootkit UEFI para Linux
Hasta ahora siempre habíamos tenido Linux como más seguro Windows. ESET, el reconocido fabricante de soluciones antivirus y seguridad ha descubierto Bootkitty, el primer bootkit UEFI diseñado específicamente para sistemas Linux.
Características y peligros de Bootkitty
Bootkitty representa una nueva clase de amenaza para los sistemas Linux. Como bootkit UEFI, opera a un nivel muy bajo del sistema, iniciándose incluso antes que el sistema operativo, lo que dificulta sobremanera su detección y posterior eliminación.
Según podemos leer en la entrada del blog de ESET, Bootkitty destaca por su capacidad para deshabilitar la verificación de firmas del kernel, además de la precarga de binarios ELF desconocidos a través del proceso de inicialización de Linux.
Además el malware está posiblemente también relacionado con un módulo de kernel sin firmar que podría cargar componentes maliciosos adicionales.
ESET considera que Bootkitty es sólamente de momento una prueba de concepto y no ha sido detectado – todavía – su uso para ataques reales, pero es preocupante el hecho de existir este tipo de malware tan sofisticado para atacar sistemas operativos Linux.
El mercado empresarial es muy apetitoso para los hackers, pues Linux está casi totalmente implantado en este entorno empresarial y por descontado en servidores, pudiendo pedir rescates o acceder a información a estas empresas con el uso de este malware.
Medidas de protección y mitigación
Afortunadamente, existen algunas barreras que limitan la efectividad inmediata de Bootkitty, pues está firmado con un certificado autofirma, lo que impide su ejecución en sistemas con UEFI Secure Boot activado, a menos que se instalen los certificados propios de los atacantes, y de momento sólo está dirigido a algunas versiones específicas de Ubuntu.