Na última década, os usuários do Windows foram ameaçados por uma nova classe de infecções. Ao infectar o firmware executado logo antes do carregamento do sistema operacional, esses kits de inicialização UEFI continuam a funcionar mesmo se o disco rígido for substituído ou formatado. Agora, o mesmo tipo de malware baseado em chip foi encontrado à solta em máquinas Linux backdoor.
Pesquisadores da empresa de segurança ESET disseram na quarta-feira que Bootkitty – o nome dado por agentes de ameaças desconhecidos ao seu kit de inicialização Linux – foi carregado no VirusTotal no início deste mês. Comparado com seus primos do Windows, o Bootkitty ainda é relativamente rudimentar, sem recursos importantes e sem meios para infectar todas as distribuições Linux, exceto o Ubuntu. Isto levou os pesquisadores da empresa a suspeitar que o novo kit de inicialização é provavelmente uma prova de conceito. Até agora, a ESET não encontrou nenhuma evidência de infecções reais na natureza.
Esteja preparado
No entanto, Bootkitty sugere que os agentes da ameaça podem estar desenvolvendo ativamente uma versão Linux do mesmo tipo de bootkit impossível de matar, encontrado anteriormente apenas em máquinas Windows.
“Prova de conceito ou não, o Bootkitty representa um avanço interessante no cenário de ameaças UEFI, quebrando a crença de que os bootkits UEFI modernos são apenas ameaças ao Windows”, disseram os pesquisadores da ESET. escreveu. “Embora a versão atual do VirusTotal não represente atualmente uma ameaça real para a maioria dos sistemas Linux, ela destaca a necessidade de estar preparado para possíveis ameaças futuras”.
Um rootkit é um malware que funciona nas áreas mais profundas de um sistema operacional infectado. Ele utiliza essa posição estratégica para ocultar informações sobre sua existência do próprio sistema operacional. Bootkit, no entanto, é um malware que infecta UEFI – abreviação de palavras Interface de firmware extensível unificada– quase da mesma maneira. Escondidos sem serem detectados no firmware que reside em um chip e é executado sempre que uma máquina é inicializada, os kits de inicialização podem persistir indefinidamente, fornecendo um meio precoce de abrir um backdoor para o sistema operacional, mesmo antes de ele estar totalmente carregado e ativar proteções de segurança, como software antivírus.
A exigência para instalação do kit de inicialização é alta. Um invasor deve primeiro obter controle administrativo sobre a máquina visada, seja por meio de acesso físico, se ela estiver desbloqueada, ou explorando de alguma forma uma vulnerabilidade crítica no sistema operacional. Sob tais circunstâncias, os invasores já conseguem instalar malware residente no sistema operacional. No entanto, os bootkits são muito mais poderosos porque (1) iniciam antes do sistema operacional e (2) são pelo menos virtualmente indetectáveis e irremovíveis.