В сети первый UEFI-буткит под Linux
Ноябрь принёс несколько интересных открытий в плане векторов атаки и не только. Так, исследователи обнаружили первый UEFI-буткит под Линукс. Названный Bootkitty, он всплыл в ноябре на VT. Сырой, забагованный, на самоподписанном сертификате и работающий на отдельных версиях GRUB и ядра. Но он есть, и звоночек тревожный.
Основная функция буткита — порезать проверку подписи и предзагрузить два неизвестных ELF-бинарника. Хорошие новости: буткит — ранняя проверка концепции, а не замеченный в сетевых дебрях инструмент для атак, и он заточен только под несколько версий Ubuntu, а не под ядро в целом. Плохие новости: эксклюзивность буткитов под Windows теперь под большим вопросом, пускай и от PoC до условного BlackLotus путь неблизкий.
Позже также появилась информация, что BootKitty эксплуатирует уязвимость LogoFAIL, а разработан он и вовсе южнокорейскими студентами-безопасниками. Целью проекта является «повысить осведомленность сообщества ИБ-специалистов о потенциальных рисках и поощрить принятие проактивных мер по предотвращению подобных угроз».
При этом образцы буткитов у них утекли в сеть незапланированно до их презентации на конференции. Да и в сущности осведомлённость повысилась явно не только у ИБ-специалистов, но и у тех, кто был бы совсем не против таким буткитом воспользоваться. Так или иначе, появление BootKitty ставит перед Linux-сообществом серьёзные вопросы. Подробнее о нём в отчёте.
Ранее также стало известно о том, что злоумышленники используют для доставки вредоносного ПО игровой движок Godot Gaming Engine.