Bootkitty - Première découverte d'un bootkit Linux UEFI

Des chercheurs en sécurité d'ESET ont mis au jour Bootkitty, le premier bootkit conçu pour infiltrer les systèmes Linux en exploitant l'UEFI. Jusqu'à présent, les bootkits étaient principalement associés à Windows, mais cette nouvelle menace cible désormais certaines versions d'Ubuntu. Bootkitty se distingue par sa capacité à modifier le processus de démarrage UEFI en trois étapes : altération du bootloader GRUB légitime, patch du chargeur EFI stub du noyau Linux et attaque directe sur l'image décompressée du noyau en mémoire. Ce bootkit désactive la vérification des signatures du noyau et précharge des fichiers malveillants lors du processus d'initialisation. Grâce à une approche modulaire, il parvient à charger des composants malveillants de manière sélective, en contournant les mesures de sécurité. Bien que nécessitant la désactivation du Secure Boot ou l'installation de certificats malveillants pour fonctionner, Bootkitty laisse des traces visibles telles que la marque "tainted" sur le noyau. Les chercheurs notent que pour se prémunir de cette menace, il est essentiel de maintenir le Secure Boot activé, de mettre à jour le firmware UEFI et de surveiller toute modification suspecte dans la partition EFI. Bien que Bootkitty soit actuellement considéré comme une preuve de concept, sa découverte incite la communauté Linux à renforcer ses défenses en matière de sécurité au démarrage. Les spécialistes recommandent également l'utilisation d'outils de vérification d'intégrité du système pour détecter d'éventuelles intrusions. En somme, cette découverte souligne l'importance de rester vigilant face aux menaces émergentes et de renforcer les capacités de protection des systèmes Linux. Cette avancée dans le domaine de la cybersécurité met en lumière la nécessité de continuer à développer des stratégies défensives robustes pour contrer de telles attaques.