Bootkitty : premier bootkit UEFI pour Linux, analyses et implications

Nouveau bootkit UEFI pour les systèmes Linux : Bootkitty

Découverte d’un nouveau logiciel malveillant

Les chercheurs en sécurité de chez ESET ont récemment mis en lumière l’existence d’un bootkit UEFI nommé Bootkitty, conçu pour infecter les machines tournant sous Linux, notamment certaines versions d’Ubuntu. En novembre 2024, une application UEFI inédite, appelée bootkit.efi, a été analysée après avoir été téléchargée sur VirusTotal.

Fonctionnement du bootkit Bootkitty

Le principal objectif de ce bootkit est de contourner la vérification de la signature du noyau et de charger deux binaires ELF dès le processus init de Linux, assurant ainsi un démarrage rapide du système. Cependant, il ne parvient pas à franchir la barrière du Secure Boot en raison d’un certificat auto-signé utilisé pour sa signature.

Un module de noyau non signé découvert

Les chercheurs ont également identifié un module de noyau non signé associé à Bootkitty, capable de déployer un binaire ELF appelé BCDropper. Ce dernier charge ensuite un autre module de noyau inconnu après le démarrage du système, agissant comme un rootkit sur la machine Linux.

Auteur et développement de Bootkitty

Le message de démarrage attribue Bootkitty à “Devloped by BlackCat”, mais il semble que ce ne soit pas lié au gang de ransomware ALPHV/BlackCat. En effet, le bootkit a été développé en C, tandis que le groupe utilisant le nom BlackCat crée ses logiciels malveillants exclusivement en Rust. Il s’agirait donc d’un projet indépendant en phase de développement.

Source : www.it-connect.fr