Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Bootkitty: Il primo Bootkit UEFI per Linux che rivoluziona il panorama delle minacce informatiche

Sandro Sana : 1 Dicembre 2024 20:49

Negli ultimi anni, il panorama delle minacce informatiche ha visto una continua evoluzione, con attacchi sempre più sofisticati e mirati. Una delle scoperte più recenti e preoccupanti in questo ambito è “Bootkitty”, il primo bootkit UEFI progettato per colpire i sistemi Linux. Identificato dai ricercatori di ESET, Bootkitty segna una nuova era di attacchi mirati al cuore dei sistemi operativi, infrangendo la percezione di Linux come una piattaforma relativamente sicura.

Che cos’è Bootkitty?

Bootkitty è un malware avanzato che sfrutta le vulnerabilità del processo di avvio dei sistemi Linux attraverso il firmware UEFI. Per capire la portata di questa minaccia, è necessario comprendere che un bootkit UEFI agisce a un livello estremamente profondo del sistema, intervenendo nei primi stadi dell’avvio per compromettere l’integrità del sistema operativo. Questo rende il malware non solo difficile da rilevare, ma anche estremamente resistente alle operazioni di rimozione.

Scoperto per la prima volta il 5 novembre 2024, Bootkitty sembra essere ancora in una fase iniziale, forse un proof-of-concept. Tuttavia, la sua sofisticazione tecnica suggerisce che potrebbe essere utilizzato in futuro per attacchi mirati di alto profilo.

Il funzionamento di Bootkitty

Prompt Engineering & Sicurezza: diventa l’esperto che guida l’AI

Vuoi dominare l’AI generativa e usarla in modo sicuro e professionale? Con il Corso Prompt Engineering: dalle basi alla cybersecurity, guidato da Luca Vinciguerra, data scientist ed esperto di sicurezza informatica, impari a creare prompt efficaci, ottimizzare i modelli linguistici e difenderti dai rischi legati all’intelligenza artificiale. Un percorso pratico e subito spendibile per distinguerti nel mondo del lavoro.
Non restare indietro: investi oggi nelle tue competenze e porta il tuo profilo professionale a un nuovo livello.
Guarda subito l'anteprima gratuita del corso su academy.redhotcyber.com
Contattaci per ulteriori informazioni tramite WhatsApp al 375 593 1011 oppure scrivi a [email protected]



Supporta RHC attraverso:
 

  1. L'acquisto del fumetto sul Cybersecurity Awareness
  2. Ascoltando i nostri Podcast
  3. Seguendo RHC su WhatsApp
  4. Seguendo RHC su Telegram
  5. Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber

Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.
 

Il funzionamento di Bootkitty è illustrato in un diagramma dettagliato che ne rivela l’architettura e le modalità di attacco. Vediamo i principali passaggi:

  1. L’ingresso nella partizione UEFI L’attacco inizia con l’infiltrazione nella partizione di sistema UEFI, dove il malware modifica o sostituisce file critici come shimx64.efi. Questo componente diventa il veicolo principale per caricare il bootkit all’interno del sistema, bypassando le protezioni di sicurezza standard.
  2. La manipolazione del bootloader GRUB Una volta penetrato nel sistema, Bootkitty prende di mira GRUB, il bootloader comunemente utilizzato su Linux. Modifica GRUB per disabilitare la verifica delle firme digitali, garantendo così il caricamento di file binari malevoli durante il processo di avvio.
  3. Compromissione del kernel Linux Il malware si spinge ancora oltre, intervenendo durante la decompressione del kernel Linux. Qui, Bootkitty modifica le funzioni di controllo dell’integrità e inietta codice malevolo, consentendo di aggirare i controlli di sicurezza e caricare moduli dannosi.
  4. Caricamento di binari ELF malevoli Attraverso la manipolazione della variabile LD_PRELOAD, Bootkitty carica file ELF sconosciuti, identificati come /opt/injector.so e /init. Questi file vengono eseguiti prima dell’inizializzazione completa del sistema, permettendo al malware di installarsi profondamente e garantire il proprio funzionamento.
  5. Persistenza e occultamento Infine, Bootkitty utilizza un modulo kernel associato chiamato “BCDropper” per mantenere la propria persistenza. Questo modulo implementa funzioni tipiche dei rootkit, come l’occultamento di file, processi e porte di comunicazione, rendendo estremamente difficile per i sistemi di sicurezza rilevarlo.

Un attacco rivoluzionario

Il diagramma del flusso di attacco evidenzia quanto sia avanzata l’architettura di Bootkitty. Ogni passaggio è progettato con cura per eludere i controlli di sicurezza, sfruttando vulnerabilità sia del firmware UEFI che del kernel Linux. L’introduzione di un bootkit per Linux rappresenta un cambiamento importante, dimostrando che anche piattaforme considerate sicure non sono immuni agli attacchi mirati.

Un aspetto interessante è che Bootkitty è firmato con un certificato auto-generato. Questo significa che su sistemi con UEFI Secure Boot abilitato, il malware non può essere eseguito a meno che l’attaccante non abbia già installato il proprio certificato. Tuttavia, su sistemi con Secure Boot disabilitato o configurato in modo errato, Bootkitty può agire senza restrizioni.

Una possibile connessione con BlackCat

Alcuni componenti di Bootkitty, come il modulo “BCDropper”, hanno spinto i ricercatori a ipotizzare una possibile connessione con il noto gruppo ransomware ALPHV, conosciuto anche come BlackCat. Tuttavia, al momento non ci sono prove concrete che colleghino Bootkitty a questo gruppo, lasciando aperta la questione sulla vera origine del malware.

Le implicazioni di Bootkitty

Bootkitty rappresenta un segnale d’allarme per la comunità della sicurezza informatica. Linux, tradizionalmente visto come una piattaforma più sicura rispetto a Windows, è ora chiaramente un bersaglio per attacchi sofisticati. Questa scoperta evidenzia l’importanza di rafforzare le difese anche su sistemi che in passato potevano essere considerati meno vulnerabili.

Come difendersi

Per mitigare il rischio di attacchi come Bootkitty, è fondamentale adottare misure preventive:

  1. Mantenere aggiornati i sistemi: Assicurarsi che il firmware UEFI e il sistema operativo siano sempre aggiornati con le ultime patch di sicurezza.
  2. Abilitare UEFI Secure Boot: Configurare Secure Boot in modo sicuro per accettare solo certificati affidabili.
  3. Monitorare la partizione UEFI: Utilizzare strumenti avanzati per rilevare modifiche non autorizzate ai file di sistema critici.
  4. Implementare soluzioni di sicurezza avanzate: Adottare software in grado di monitorare e analizzare il processo di avvio per identificare comportamenti anomali.

Conclusioni

Bootkitty non è solo un malware; è un campanello d’allarme che ci ricorda come la sicurezza informatica debba essere sempre considerata una priorità, indipendentemente dalla piattaforma. La sua complessità tecnica e il livello di sofisticazione dimostrano che gli attaccanti stanno spingendo i limiti delle loro capacità per compromettere sistemi apparentemente sicuri.

Per affrontare queste nuove sfide, è necessario un approccio proattivo e una collaborazione continua tra esperti di sicurezza, aziende e sviluppatori. Solo così possiamo prepararci a difendere i nostri sistemi dalle minacce emergenti come Bootkitty, che rappresentano la nuova frontiera della cybercriminalità.

Sandro Sana
Membro del gruppo di Red Hot Cyber Dark Lab e direttore del Red Hot Cyber PodCast. Si occupa d'Information Technology dal 1990 e di Cybersecurity dal 2014 (CEH - CIH - CISSP - CSIRT Manager - CTI Expert), relatore a SMAU 2017 e SMAU 2018, docente SMAU Academy & ITS, membro ISACA. Fa parte del Comitato Scientifico del Competence Center nazionale Cyber 4.0, dove contribuisce all’indirizzo strategico delle attività di ricerca, formazione e innovazione nella cybersecurity.

Lista degli articoli
Visita il sito web dell'autore

Articoli in evidenza

Due bug critici in Cisco ASA e FTD: score 9.9 e rischio esecuzione di codice remoto
Di Redazione RHC - 25/09/2025

Cisco ha reso note due vulnerabilità critiche che interessano i propri firewall Secure Firewall Adaptive Security Appliance (ASA) e Secure Firewall Threat Defense (FTD), oltre ad altri prodotti di re...

Linux balla la samba… ma cade in una race condition. Una falla critica minaccia il kernel
Di Redazione RHC - 25/09/2025

Il ricercatore Nicholas Zubrisky di Trend Research ha segnalato una vulnerabilità critica nel componente ksmbd del kernel Linux che consente ad aggressori remoti di eseguire codice arbitrario con i m...

Criptovalute, ransomware e hamburger: la combo fatale per Scattered Spider
Di Redazione RHC - 25/09/2025

Il Dipartimento di Giustizia degli Stati Uniti e la polizia britannica hanno incriminato Talha Jubair, 19 anni, residente nell’East London, che gli investigatori ritengono essere un membro chiave di...

Rilevate vulnerabilità Zero-Day in Cisco IOS e IOS XE: Aggiornamenti Urgenti
Di Redazione RHC - 25/09/2025

Una vulnerabilità zero-day, monitorata con il CVE-2025-20352, è stata resa pubblica da Cisco nei suoi diffusissimi software IOS e IOS XE; tale vulnerabilità risulta essere sfruttata attivamente. L�...

Esce Kali Linux 2025.3! Nuova release con miglioramenti e nuovi strumenti
Di Redazione RHC - 24/09/2025

Gli sviluppatori di Kali Linux hanno rilasciato una nuova release, la 2025.3, che amplia le funzionalità della distribuzione e aggiunge dieci nuovi strumenti di penetration testing. L’aggiornamento...