Bootkitty: Neue Malware greift Linux an : Erstes UEFI-Bootkit für Linux-Kernel entdeckt
Sicherheitsexperten sind auf „Bootkitty“ gestoßen – das weltweit erste UEFI-Bootkit, das gezielt Linux-Systeme ins Visier nimmt. Diese hochentwickelte Malware greift eine der grundlegendsten Ebenen moderner Computer an und zeigt einmal mehr, wie raffiniert Cyberkriminelle inzwischen agieren.
Das Bootkit wurde von seinen Entwicklern, der Gruppe BlackCat, „Bootkitty“ genannt. Es wird als reines Proof-of-Concept (PoC) eingestuft. Das bedeutet, es gibt bisher keine Hinweise auf einen Einsatz in realen Angriffen. Unter dem Namen „IranuKit“ wurde es am 5. November 2024 auf der Plattform VirusTotal hochgeladen.
Laut den ESET-Sicherheitsspezialisten Martin Smolár und Peter Strýček zielt das Bootkit darauf ab, die Signaturprüfungsfunktion des Linux-Kernels auszuschalten. Ferner ermöglicht es das Vorladen von zwei noch unbekannten ELF-Binärdateien über den Linux-Init-Prozess – den ersten Prozess, den der Linux-Kernel beim Start des Systems ausführt.
Diese Entdeckung ist ein bedeutender Meilenstein in der Cyber-Bedrohungslandschaft: Sie zeigt, dass UEFI-Bootkits nun nicht mehr ausschließlich Windows-Systeme betreffen, sondern auch Linux-Systeme ins Visier nehmen.
Bootkitty ist mit einem selbst signierten Zertifikat versehen, was bedeutet, dass es auf Systemen mit aktiviertem UEFI Secure Boot nicht ausgeführt werden kann – es sei denn, ein Angreifer hat zuvor ein manipuliertes Zertifikat installiert.
Ziel Linux-Kernel
Unabhängig davon, ob Secure Boot aktiviert ist oder nicht, zielt Bootkitty darauf ab, den Linux-Kernel zu starten und die Antwort der Integritätsprüfungsfunktion direkt im Speicher zu manipulieren, bevor der GNU GRUB-Bootloader ausgeführt wird.
Das Bootkit manipuliert gezielt zwei Funktionen der UEFI-Authentifizierungsprotokolle, sofern Secure Boot so aktiviert ist, dass die UEFI-Integritätsprüfungen umgangen werden. Anschließend verändert es drei weitere Funktionen im legitimen GRUB-Bootloader, um zusätzliche Integritätsprüfungen auszuschalten.
Darüber hinaus beeinträchtigt das Bootkit den normalen Dekomprimierungsprozess des Linux-Kernels, sodass es bösartige Module laden kann. Schließlich wird die Umgebungsvariable LD_PRELOAD verändert, um zwei unbekannte ELF-Bibliotheken (/opt/injector.so und /init) zu laden, sobald der Init-Prozess gestartet wird.
ESET berichtet, dass die Untersuchung des Bootkits auch ein vermutlich damit verbundenes, unsigniertes Kernelmodul mit dem Namen „BCDropper“ zutage brachte. Dieses Modul kann eine ELF-Binärdatei namens „BCObserver“ bereitstellen, die nach dem Systemstart ein weiteres, bisher unbekanntes Kernelmodul lädt.
Das Kernelmodul, das als Autorenname ebenfalls den Namen „BlackCat“ nennt, führt typische Rootkit-Funktionen aus. Dazu gehören das Verstecken von Dateien und Prozessen sowie das Öffnen von Ports. Eine Verbindung zur ALPHV/BlackCat-Ransomware-Gruppe konnte bislang nicht festgestellt werden.
„Egal, ob es sich um ein Proof-of-Concept handelt oder nicht, Bootkitty stellt einen bedeutenden Fortschritt in der UEFI-Bedrohungslandschaft dar“, so das slowakische Sicherheitsunternehmen. Die Entdeckung widerlegt die Annahme, dass moderne UEFI-Bootkits ausschließlich eine Bedrohung für Windows-Systeme darstellen.
Bootkitty nutzt Sicherheitslücke LogoFAIL aus
Das Sicherheitsunternehmen Binarly hat in einer Analyse vom 29. November 2024 herausgefunden, dass der Prototyp des Bootkitty-UEFI-Bootkits, der den Linux-Kernel infizieren kann, eine Schwachstelle namens LogoFAIL (CVE-2023-40238, CVSS-Score: 5.5) ausnutzt. Diese Schwachstelle ermöglicht es, „bösartigen Shellcode über manipulierte BMP-Bilddateien in UEFI-Firmware auszuführen“.
Der Exploit nutzt in einer BMP-Bilddatei eingebetteten Shellcode, um die Schutzmaßnahmen von Secure Boot zu umgehen. Dabei werden manipulierte Zertifikate in die MokList-Variable eingeschleust.
Zu den betroffenen Geräten gehören Modelle von Acer, HP, Fujitsu und Lenovo. Es gibt Hinweise darauf, dass der Exploit speziell auf bestimmte Hardwarekonfigurationen abgestimmt ist. Obwohl ein Patch des Herstellers Insyde die Schwachstelle behebt, bleiben ungepatchte Geräte weiterhin gefährdet.
Bootkitty als Forschungsprojekt identifiziert
ESET hat inzwischen herausgefunden, dass das Bootkit im Rahmen eines Forschungsprojekts von Cybersecurity-Studenten entwickelt wurde. Diese nahmen am koreanischen „Best of the Best“ (BoB) Trainingsprogramm teil. Das bestätigt die erste Annahme, dass es sich lediglich um einen ersten Proof-of-Concept handelt und nicht um eine Malware, die bereits von kriminellen Akteuren genutzt wird.