Le texte suivant est issu d’un communiqué de presse et ne reflète en aucun cas l’avis de la rédaction.
• Une analyse plus approfondie a confirmé qu’il s’agissait d’un kit de démarrage UEFI, appelé Bootkitty. En novembre 2024, une application jusqu’alors inconnue nommée bootkit.efi a été téléchargée sur VirusTotal. Il s’agit du premier bootkit UEFI ciblant Linux et plusieurs versions d’Ubuntu. Il contient de nombreux éléments suggérant qu’il s’agit davantage d’une preuve de concept que de l’œuvre d’un acteur malveillant.
• ESET Research a également découvert un module de noyau potentiellement lié, nommé BCDropper par ESET, qui déploie un programme Linux ELF (Executable and Linking Format) chargé de charger un autre module de noyau.
BRATISLAVA, 27 novembre 2024 — ESET Research a découvert le premier bootkit UEFI conçu pour les systèmes Linux, appelé Bootkitty par ses créateurs. ESET estime que ce bootkit est une première preuve de concept et qui, d’après sa télémétrie, n’a pas été déployé ‘dans la nature’. C’est la première preuve que les bootkits UEFI ne se limitent plus aux systèmes Windows. L’objectif principal du bootkit est de désactiver la fonction de vérification de la signature du noyau et de précharger deux binaires ELF encore inconnus via le processus Linux « init » (le premier processus exécuté par le noyau Linux lors du démarrage du système).
L’application UEFI jusqu’alors inconnue appelée « bootkit.efi » a été téléchargée sur VirusTotal. Bootkitty est signé par un certificat auto-signé et ne peut donc pas fonctionner sur les systèmes sur lesquels le démarrage sécurisé UEFI est activé par défaut. Bootkitty est conçu pour démarrer de manière transparente le noyau Linux, que le démarrage sécurisé UEFI soit activé ou non, car il corrige, en mémoire, les fonctions nécessaires à la vérification de l’intégrité.
Bootkit est un rootkit avancé qui peut remplacer le chargeur de démarrage et corriger le noyau avant son exécution. Bootkitty permet à l’attaquant de prendre le contrôle total de la machine affectée, car il coopte le processus de démarrage de la machine et exécute des logiciels malveillants avant même que le système d’exploitation ne démarre.
Au cours de l’analyse, ESET a découvert un module de noyau non signé potentiellement lié qu’il a nommé BCDropper – avec des signes suggérant qu’il a été développé par le(s) même(s) auteur(s) que Bootkitty. Il déploie un binaire ELF chargé de charger un autre module de noyau inconnu au moment de l’analyse.
« Bootkitty contient de nombreux artefacts, indiquant qu’il s’agit peut-être davantage d’une preuve de concept que du travail d’un acteur malveillant. Même si la version actuelle de VirusTotal ne constitue pas une menace réelle pour la majorité des systèmes Linux, puisqu’elle ne peut affecter que quelques versions d’Ubuntu, elle souligne la nécessité de se préparer aux menaces futures », explique Martin Smolár, chercheur d’ESET, qui a analysé Bootkitty. Il ajoute : « Pour protéger vos systèmes Linux contre ces menaces, assurez-vous que le démarrage sécurisé UEFI est activé, que le micrologiciel du système, les logiciels de sécurité et le système d’exploitation sont à jour, ainsi que la liste des révocations UEFI ».
Après avoir démarré un système avec Bootkitty dans l’environnement de test ESET, les chercheurs ont remarqué que le noyau était marqué comme contaminé (une commande peut être utilisée pour vérifier la valeur contaminée) et qu’il n’était pas marqué si le bootkit était absent. Une autre façon de savoir si le kit de démarrage se trouve sur le système avec le démarrage sécurisé UEFI activé consiste à tenter de charger un module de noyau factice non signé pendant l’exécution. S’il est présent, le module sera chargé, sinon le noyau refusera de le charger. Pour simplement vous débarrasser du bootkit, lorsqu’il est déployé sous « /EFI/ubuntu/grubx64.efi », vous devez déplacer le fichier légitime « /EFI/ubuntu/grubx64-real.efi » vers son emplacement d’origine, qui est « / EFI/ubuntu/grubx64.efi ».
Ces dernières années, le paysage des menaces UEFI, et en particulier celui des bootkits UEFI, a considérablement évolué. Tout a commencé avec la première preuve de concept (PoC) de bootkit UEFI, décrite par Andrea Allievi en 2012 et qui a servi de démonstration du déploiement de bootkits sur des systèmes Windows modernes basés sur UEFI. Il a été suivi par de nombreux autres PoC (EfiGuard, Boot Backdoor, UEFI-bootkit). Il a fallu plusieurs années pour que les deux premiers véritables bootkits UEFI soient découverts « dans la nature » (l’un d’eux était ESPecter en 2021, par ESET). Il a ensuite fallu deux ans avant qu’apparaisse le fameux BlackLotus, le premier bootkit UEFI capable de contourner l’UEFI Secure Boot sur les systèmes actuels (en 2023, découvert par ESET). Le point commun de ces bootkits bien connus était leur ciblage exclusif des systèmes Windows.
Pour une analyse plus détaillée et technique de Bootkitty, consultez le dernier blog d’ESET Research « Bootkitty : Analyse du premier kit de démarrage UEFI pour Linux », sur www.welivesecurity.com/. Pour les dernières nouvelles sur ESET Research, suivez ESET Research sur Twitter (aujourd’hui connu sous le nom de X)
À PROPOS D’ESET ESET® offre une sécurité de pointe pour prévenir les attaques avant qu’elles ne se produisent. Grâce à la puissance de l’IA et de l’expertise humaine, ESET garde une longueur d’avance sur les menaces connues et émergentes, en sécurisant les appareils mobiles, ses solutions et services basés sur l’IA et axés sur le cloud sont efficaces et faciles à utiliser. La technologie ESET comprend une détection et une réponse robustes, un cryptage ultra-sécurisé et une authentification multifacteur. Avec une défense en temps réel 24h/24 et 7j/7 et une assistance locale solide, ESET assure la sécurité des utilisateurs et des entreprises sans interruption. Un paysage numérique en constante évolution exige une approche progressive de la sécurité : ESET dispose de recherches de classe mondiale et de puissantes informations sur les menaces, soutenues par des centres de R&D ainsi qu’un réseau mondial de partenaires. Plus d’informations : www.eset.com ou LinkedIn, Facebook, X et https://www.eset.com/be-fr/.
Related News :