- En novembre 2024 une nouvelle application UEFI, nommée bootkit.efi, a été identifiée sur VirusTotal par ESET Research.
- Bootkitty est le premier bootkit UEFI ciblant Linux.
- Son code suggère une preuve de concept plutôt qu'un malware actif.
- Un module noyau, BCDropper, serait attribué aux mêmes développeurs.
ESET Research a identifié Bootkitty, le premier bootkit UEFI jamais conçu pour Linux. Les chercheurs pensent qu'il s'agit d'une preuve de concept qui n'a pas été déployée en production. Cette découverte démontre que les systèmes Windows ne sont plus les seules cibles des bootkits UEFI. Ce bootkit vise principalement à contourner la vérification des signatures du noyau et à injecter deux fichiers ELF via le processus d'initialisation de Linux.
Bootkitty utilise un certificat auto-signé, ce qui l'empêche de fonctionner sur les systèmes où l'UEFI Secure Boot est activé. Néanmoins, il est conçu pour démarrer dans le noyau Linux de manière transparente dans tous les cas, en modifiant en mémoire les fonctions chargées des vérifications d'intégrité.
Ce bootkit est un rootkit sophistiqué qui peut remplacer le chargeur de démarrage et modifier le noyau avant son lancement. En prenant le contrôle du processus de démarrage et en exécutant du code malveillant avant même le démarrage du système d'exploitation, Bootkitty permet à l'attaquant de prendre le contrôle complet de la machine ciblée.
Au cours de l'analyse, ESET a également découvert un module noyau non signé baptisé BCDropper, qui présente des caractéristiques suggérant qu'il pourrait avoir été développé par les créateurs de Bootkitty. Ce module déploie un fichier ELF chargé d'installer un autre module noyau qui n'était pas identifié au moment de l'analyse.
Martin Smolár, chercheur chez ESET ayant analysé Bootkitty, explique : « Les nombreux artefacts présents dans le code suggèrent qu'il s'agit d'une preuve de concept plutôt que d'une menace réelle. Bien que la version actuelle sur VirusTotal ne cible que certaines versions d'Ubuntu et ne constitue pas un danger immédiat, elle met en lumière l'importance de se préparer aux menaces futures. Pour protéger vos systèmes Linux, iI est recommandé d'activer l'UEFI Secure Boot, de maintenir à jour le micrologiciel, les logiciels de sécurité, le système d'exploitation et la liste des révocations. »
L'évolution des menaces UEFI, particulièrement des bootkits UEFI, a connu une progression significative ces dernières années. Le concept a émergé en 2012 avec la première preuve de concept d'Andrea Allievi, démontrant la possibilité d'implanter des bootkits sur les systèmes Windows utilisant UEFI. Cette démonstration a été suivie par d'autres preuves de concept comme EfiGuard, Boot Backdoor et UEFI-bootkit. Les premiers bootkits UEFI réels n'ont été découverts que des années plus tard dans la nature, notamment ESPecter identifié par ESET en 2021. En 2023, ESET a détecté BlackLotus, marquant une évolution majeure car c'était le premier bootkit UEFI capable de contourner la protection UEFI Secure Boot sur des systèmes à jour. Jusqu'à présent, tous ces bootkits connus ciblaient exclusivement les systèmes Windows.
Pour une analyse détaillée et technique de Bootkitty, consultez l’article de blog d'ESET Research « Bootkitty : Analyse du premier bootkit UEFI pour Linux » sur WeLiveSecurity.com.
Contact Presse :
Jolya COHOUNDO : +33 07 76 99 70 29 - jolya.c@eset-nod32.fr
À propos d'ESET
Depuis plus de 30 ans, ESET® développe des logiciels et des services de sécurité informatique de pointe pour protéger les entreprises, les infrastructures critiques et les consommateurs du monde entier contre des menaces digitales de plus en plus sophistiquées. Protection des terminaux et des mobiles, détection et traitement des incidents, chiffrement et authentification multifacteur... les solutions performantes et faciles à utiliser d’ESET protègent et supervisent discrètement 24 heures sur 24, 7 jours sur 7, en mettant à jour les défenses en temps réel pour assurer sans aucune interruption la sécurité des utilisateurs et le bon fonctionnement des entreprises. L’évolution des menaces exige d’une entreprise de sécurité informatique qu’elle évolue également. C’est le cas d’ESET grâce à ses centres de R&D dans le monde entier travaillant à la protection de notre avenir commun.
Pour plus d’informations, consultez www.eset.com/fr/ ou suivez-nous sur LinkedIn, Facebook et X