Güvenlik araştırmacıları , Linux sistemleri için tasarlanan ve yaratıcıları tarafından Bootkitty olarak adlandırılan ilk UEFI bootkit’ini keşfetti. Bu keşif UEFI önyükleme kitlerinin artık yalnızca Windows sistemleriyle sınırlı olmadığının ilk kanıtı olma özelliğini taşıyor.
Unified Extensible Firmware Interface kelimelerinin kısaltması olan UEFI, anakart kontrol yazılımı olarak biliniyor. UEFI işletim sistemi başlatılmadan önce, bilgisayar çalıştığında harekete geçen bir yazılım.
Siber suçlular UEFI kodunu değiştirirse bu kodu kurbanın sistemine kötü amaçlı yazılım göndermek için kullanabilmeleri de mümkün oluyor. Bootkit ise sahibinin bilgisi olmadan bilgisayar üzerinde düşük düzeyde kontrol elde etmek için tasarlanmış bir tür kötü amaçlı yazılım olarak tanımlanıyor.
Kasım 2024’te VirusTotal’a bootkit.efi adlı daha önce bilinmeyen bir uygulama yüklendikten sonra Güvenlik araştırmacıları yaptığı incelemede bunun bir UEFI uygulaması olduğunu keşfetti.
Yapılan derinlemesine analizler sonrasında, yaratıcıları tarafından Bootkitty olarak adlandırılan bir UEFI önyükleme kiti olduğunu doğruladı; şaşırtıcı bir şekilde, Linux’u özellikle birkaç Ubuntu sürümünü hedef alan ilk UEFI önyükleme kitidir. Bootkit, bunun bir tehdit aktörünün çalışmasından çok bir kavram kanıtı olduğunu düşündüren birçok eser içeriyor.
Bootkitty kendinden imzalı bir sertifika ile imzalanmış, bu nedenle varsayılan olarak UEFI güvenli önyüklemenin etkin olduğu sistemlerde çalışamaz. Ancak Bootkitty, bütünlük doğrulamasından sorumlu gerekli işlevleri bellekte yamaladığı için UEFI güvenli önyükleme etkin olsun ya da olmasın Linux çekirdeğini sorunsuz bir şekilde önyüklemek üzere tasarlanmıştır.
Bootkit, önyükleme yükleyicisinin yerini alabilen ve yürütülmeden önce çekirdeğe yama uygulayabilen gelişmiş bir rootkit’tir. Bootkitty, makinenin önyükleme sürecini ele geçirdiği ve işletim sistemi daha başlamadan kötü amaçlı yazılımı çalıştırdığı için saldırganın etkilenen makine üzerinde tam kontrol sahibi olmasını sağlar.
Analiz sırasında , Bootkitty ile aynı yazarlar tarafından geliştirilmiş olabileceğini düşündüren işaretlerle birlikte BCDropper olarak adlandırdığı muhtemelen ilişkili imzasız bir çekirdek modülü keşfetti. Analiz sırasında bilinmeyen başka bir çekirdek modülünü yüklemekten sorumlu bir ELF ikili dosyası dağıtıyor.
