Az első Linux UEFI bootkit – Bootkitty elemzés
Az elmúlt néhány évben az UEFI-fenyegetések, különösen az UEFI bootkitek, jelentősen fejlődtek. Az egész az Andrea Allievi által 2012-ben leírt első UEFI bootkit proof of concept (PoC) bemutatásával kezdődött, amely a bootkitek modern UEFI-alapú Windows rendszereken történő telepítésének demonstrálására szolgált, majd számos további PoC követte (EfiGuard, Boot Backdoor, UEFI-bootkit). Több évbe telt, amíg az első két valódi UEFI bootkitet azonosították (ESPecter, 2021 ESET; FinSpy bootkit, 2021 Kaspersky), és további két évbe telt, amíg a hírhedt BlackLotus – az első UEFI bootkit, amely képes volt megkerülni az UEFI Secure Bootot a naprakész rendszereken – megjelent (2023, ESET).
A nyilvánosan ismert bootkitek közös vonása az volt, hogy kizárólag Windows rendszereket céloztak meg. 2024 novemberben egy korábban ismeretlen UEFI-alkalmazást töltöttek fel a VirusTotal-ra bootkit.efi néven. Az ESEt kutatóinak elemzései megerősítették, hogy ez egy UEFI bootkit, amelyet Bootkitty-nek neveztek el a készítői, és meglepő módon ez az első UEFI bootkit, amely a Linuxot, konkrétan néhány Ubuntu verziót céloz meg. A Bootkitty saját aláírású tanúsítvánnyal van aláírva, így nem képes UEFI Secure Boot funkcióval rendelkező rendszereken futni, hacsak a támadók tanúsítványai nincsenek telepítve. A Bootkitty úgy van kialakítva, hogy a Linux kernelt zökkenőmentesen indítsa el, függetlenül attól, hogy az UEFI Secure Boot engedélyezve van-e vagy sem. A bootkit.efi számos olyan artefaktumot tartalmaz, amely arra utal, hogy ez inkább egy proof of concept, mint egy aktív fenyegető szereplő munkája. Az ESET kutatói azonosítottak egy valószínűleg kapcsolódó kernelmodult, amelyet BCDroppernek neveztek el, amely egy másik kernelmodul betöltéséért felelős ELF-programot telepít.
