MÜNCHEN (IT BOLTWISE) – In einer bedeutenden Entwicklung im Bereich der Cybersicherheit haben Forscher den ersten UEFI-Bootkit entdeckt, der speziell auf Linux-Systeme abzielt. Diese Entdeckung markiert einen Wendepunkt in der Bedrohungslandschaft, da UEFI-Bootkits bisher hauptsächlich mit Windows-Systemen in Verbindung gebracht wurden.
- News von IT Boltwise® bei LinkedIn abonnieren!
- AI Morning Podcast bei Spotify / Amazon / Apple verfolgen!
- Neue Meldungen bequem per eMail via Newsletter erhalten!
- IT Boltwise® bei Facebook als Fan markieren!
- RSS-Feed 2.0 von IT Boltwise® abonnieren!
Die Entdeckung eines neuen UEFI-Bootkits, das gezielt Linux-Systeme angreift, stellt einen bedeutenden Fortschritt in der Welt der Cyberbedrohungen dar. Dieses Bootkit, das von seinen Entwicklern als Bootkitty bezeichnet wird, wurde von der Gruppe BlackCat entwickelt und gilt als Proof-of-Concept. Es gibt derzeit keine Hinweise darauf, dass es bereits in realen Angriffen eingesetzt wurde.
Die Forscher von ESET, Martin Smolár und Peter Strýček, haben herausgefunden, dass das Hauptziel des Bootkits darin besteht, die Signaturüberprüfung des Kernels zu deaktivieren und zwei bisher unbekannte ELF-Binärdateien über den Linux-Init-Prozess vorzuladen. Diese Entwicklung zeigt, dass UEFI-Bootkits nicht mehr nur auf Windows-Systeme beschränkt sind, sondern auch Linux-Systeme ins Visier nehmen.
Bootkitty ist mit einem selbstsignierten Zertifikat versehen, was bedeutet, dass es auf Systemen mit aktiviertem UEFI Secure Boot nicht ausgeführt werden kann, es sei denn, ein von Angreifern kontrolliertes Zertifikat wurde bereits installiert. Unabhängig vom Status des UEFI Secure Boot ist das Bootkit darauf ausgelegt, den Linux-Kernel zu starten und die Antwort der Funktion zur Integritätsüberprüfung im Speicher zu patchen, bevor der GNU GRand Unified Bootloader (GRUB) ausgeführt wird.
Besonders bemerkenswert ist, dass das Bootkit zwei Funktionen aus den UEFI-Authentifizierungsprotokollen hookt, wenn Secure Boot aktiviert ist, um die Integritätsprüfungen zu umgehen. Anschließend werden drei verschiedene Funktionen im legitimen GRUB-Bootloader gepatcht, um weitere Integritätsüberprüfungen zu umgehen. Diese Techniken zeigen die Raffinesse und das Potenzial solcher Bedrohungen.
Die Untersuchung des Bootkits führte auch zur Entdeckung eines wahrscheinlich verwandten unsignierten Kernel-Moduls, das in der Lage ist, eine ELF-Binärdatei namens BCDropper zu laden, die ein weiteres unbekanntes Kernel-Modul nach dem Systemstart lädt. Dieses Modul, das ebenfalls BlackCat als Autorennamen trägt, implementiert weitere Rootkit-Funktionalitäten wie das Verstecken von Dateien, Prozessen und das Öffnen von Ports.
Obwohl derzeit keine Verbindung zur ALPHV/BlackCat-Ransomware-Gruppe besteht, unterstreicht die Entdeckung von Bootkitty die Notwendigkeit, auf potenzielle zukünftige Bedrohungen vorbereitet zu sein. Diese Entwicklung bricht mit der bisherigen Annahme, dass moderne UEFI-Bootkits ausschließlich Windows-Bedrohungen sind, und zeigt, dass auch Linux-Systeme anfällig sein können.
Ergänzungen und Infos bitte an die Redaktion per eMail an de-info[at]it-boltwise.de
Es werden alle Kommentare moderiert!
Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen.
Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte.
Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den RSS-Hauptfeed oder IT BOLTWISE® bei Google News wie auch bei Bing News abonnieren.