Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Select language
English Spanish
Cerca

Bootkitty: Il primo Bootkit UEFI per Linux che rivoluziona il panorama delle minacce informatiche

Sandro Sana : 1 Dicembre 2024 20:49

Negli ultimi anni, il panorama delle minacce informatiche ha visto una continua evoluzione, con attacchi sempre più sofisticati e mirati. Una delle scoperte più recenti e preoccupanti in questo ambito è “Bootkitty”, il primo bootkit UEFI progettato per colpire i sistemi Linux. Identificato dai ricercatori di ESET, Bootkitty segna una nuova era di attacchi mirati al cuore dei sistemi operativi, infrangendo la percezione di Linux come una piattaforma relativamente sicura.

Che cos’è Bootkitty?

Bootkitty è un malware avanzato che sfrutta le vulnerabilità del processo di avvio dei sistemi Linux attraverso il firmware UEFI. Per capire la portata di questa minaccia, è necessario comprendere che un bootkit UEFI agisce a un livello estremamente profondo del sistema, intervenendo nei primi stadi dell’avvio per compromettere l’integrità del sistema operativo. Questo rende il malware non solo difficile da rilevare, ma anche estremamente resistente alle operazioni di rimozione.

Scoperto per la prima volta il 5 novembre 2024, Bootkitty sembra essere ancora in una fase iniziale, forse un proof-of-concept. Tuttavia, la sua sofisticazione tecnica suggerisce che potrebbe essere utilizzato in futuro per attacchi mirati di alto profilo.

Il funzionamento di Bootkitty


CALL FOR SPONSOR - Sponsorizza l'ottavo episodio della serie Betti-RHC

Sei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"? Conosci il nostro corso sul cybersecurity awareness a fumetti? Red Hot Cyber sta ricercando un nuovo sponsor per una nuova puntata del fumetto Betti-RHC mentre il team è impegnato a realizzare 3 nuovi episodi che ci sono stati commissionati.

Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]


Supporta RHC attraverso:
  • L'acquisto del fumetto sul Cybersecurity Awareness
  • Ascoltando i nostri Podcast
  • Seguendo RHC su WhatsApp
  • Seguendo RHC su Telegram
  • Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab


    • Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.


    Il funzionamento di Bootkitty è illustrato in un diagramma dettagliato che ne rivela l’architettura e le modalità di attacco. Vediamo i principali passaggi:

    1. L’ingresso nella partizione UEFI L’attacco inizia con l’infiltrazione nella partizione di sistema UEFI, dove il malware modifica o sostituisce file critici come shimx64.efi. Questo componente diventa il veicolo principale per caricare il bootkit all’interno del sistema, bypassando le protezioni di sicurezza standard.
    2. La manipolazione del bootloader GRUB Una volta penetrato nel sistema, Bootkitty prende di mira GRUB, il bootloader comunemente utilizzato su Linux. Modifica GRUB per disabilitare la verifica delle firme digitali, garantendo così il caricamento di file binari malevoli durante il processo di avvio.
    3. Compromissione del kernel Linux Il malware si spinge ancora oltre, intervenendo durante la decompressione del kernel Linux. Qui, Bootkitty modifica le funzioni di controllo dell’integrità e inietta codice malevolo, consentendo di aggirare i controlli di sicurezza e caricare moduli dannosi.
    4. Caricamento di binari ELF malevoli Attraverso la manipolazione della variabile LD_PRELOAD, Bootkitty carica file ELF sconosciuti, identificati come /opt/injector.so e /init. Questi file vengono eseguiti prima dell’inizializzazione completa del sistema, permettendo al malware di installarsi profondamente e garantire il proprio funzionamento.
    5. Persistenza e occultamento Infine, Bootkitty utilizza un modulo kernel associato chiamato “BCDropper” per mantenere la propria persistenza. Questo modulo implementa funzioni tipiche dei rootkit, come l’occultamento di file, processi e porte di comunicazione, rendendo estremamente difficile per i sistemi di sicurezza rilevarlo.

    Un attacco rivoluzionario

    Il diagramma del flusso di attacco evidenzia quanto sia avanzata l’architettura di Bootkitty. Ogni passaggio è progettato con cura per eludere i controlli di sicurezza, sfruttando vulnerabilità sia del firmware UEFI che del kernel Linux. L’introduzione di un bootkit per Linux rappresenta un cambiamento importante, dimostrando che anche piattaforme considerate sicure non sono immuni agli attacchi mirati.

    Un aspetto interessante è che Bootkitty è firmato con un certificato auto-generato. Questo significa che su sistemi con UEFI Secure Boot abilitato, il malware non può essere eseguito a meno che l’attaccante non abbia già installato il proprio certificato. Tuttavia, su sistemi con Secure Boot disabilitato o configurato in modo errato, Bootkitty può agire senza restrizioni.

    Una possibile connessione con BlackCat

    Alcuni componenti di Bootkitty, come il modulo “BCDropper”, hanno spinto i ricercatori a ipotizzare una possibile connessione con il noto gruppo ransomware ALPHV, conosciuto anche come BlackCat. Tuttavia, al momento non ci sono prove concrete che colleghino Bootkitty a questo gruppo, lasciando aperta la questione sulla vera origine del malware.

    Le implicazioni di Bootkitty

    Bootkitty rappresenta un segnale d’allarme per la comunità della sicurezza informatica. Linux, tradizionalmente visto come una piattaforma più sicura rispetto a Windows, è ora chiaramente un bersaglio per attacchi sofisticati. Questa scoperta evidenzia l’importanza di rafforzare le difese anche su sistemi che in passato potevano essere considerati meno vulnerabili.

    Come difendersi

    Per mitigare il rischio di attacchi come Bootkitty, è fondamentale adottare misure preventive:

    1. Mantenere aggiornati i sistemi: Assicurarsi che il firmware UEFI e il sistema operativo siano sempre aggiornati con le ultime patch di sicurezza.
    2. Abilitare UEFI Secure Boot: Configurare Secure Boot in modo sicuro per accettare solo certificati affidabili.
    3. Monitorare la partizione UEFI: Utilizzare strumenti avanzati per rilevare modifiche non autorizzate ai file di sistema critici.
    4. Implementare soluzioni di sicurezza avanzate: Adottare software in grado di monitorare e analizzare il processo di avvio per identificare comportamenti anomali.

    Conclusioni

    Bootkitty non è solo un malware; è un campanello d’allarme che ci ricorda come la sicurezza informatica debba essere sempre considerata una priorità, indipendentemente dalla piattaforma. La sua complessità tecnica e il livello di sofisticazione dimostrano che gli attaccanti stanno spingendo i limiti delle loro capacità per compromettere sistemi apparentemente sicuri.

    Per affrontare queste nuove sfide, è necessario un approccio proattivo e una collaborazione continua tra esperti di sicurezza, aziende e sviluppatori. Solo così possiamo prepararci a difendere i nostri sistemi dalle minacce emergenti come Bootkitty, che rappresentano la nuova frontiera della cybercriminalità.

    Sandro Sana
    Membro del gruppo di Red Hot Cyber Dark Lab e direttore del Red Hot Cyber PodCast. Si occupa d'Information Technology dal 1990 e di Cybersecurity dal 2014 (CEH - CIH - CISSP - CSIRT Manager - CTI Expert), relatore a SMAU 2017 e SMAU 2018, docente SMAU Academy & ITS, membro ISACA. Fa parte del Comitato Scientifico del Competence Center nazionale Cyber 4.0, dove contribuisce all’indirizzo strategico delle attività di ricerca, formazione e innovazione nella cybersecurity.

    Lista degli articoli
    Visita il sito web dell'autore

    Articoli in evidenza

    Backdoor in xz Utils: 35 immagini Docker Hub ancora infette
    Di Redazione RHC - 14/08/2025

    Gli analisti di Binarly hanno trovato almeno 35 immagini su Docker Hub ancora infette da una backdoor che ha penetrato xz Utils l’anno scorso. I ricercatori hanno avvertito che questo potrebbe ...

    Microsoft Office, tre vulnerabilità critiche: aggiornare subito è obbligatorio
    Di Redazione RHC - 14/08/2025

    Tre gravi vulnerabilità di Microsoft Office, che potrebbero permettere agli aggressori di eseguire codice remoto sui sistemi colpiti, sono state risolte da Microsoft con il rilascio di aggiorname...

    L’AI che si programma da sola: il 2025 potrebbe segnare una svolta per i programmatori
    Di Carlo Denza - 14/08/2025

    Dalle macchine che apprendono a quelle che si auto migliorano: il salto evolutivo che sta riscrivendo il codice del futuro Mentre leggete questo articolo, molto probabilmente, in un data center del mo...

    Arriva Charon Ransomware. Supera EDR, è Stealth e strizza l’occhio ai migliori APT
    Di Redazione RHC - 13/08/2025

    Trend Micro ha rilevato un attacco mirato ai settori governativo e aeronautico in Medio Oriente, utilizzando un nuovo ransomware chiamato Charon. Gli aggressori hanno utilizzato una complessa catena d...

    Vulnerabilità critica in Fortinet: aggiornare subito FortiOS, FortiProxy e FortiPAM
    Di Redazione RHC - 13/08/2025

    Diversi prodotti di sicurezza Fortinet, tra cui FortiOS, FortiProxy e FortiPAM, sono interessati da una vulnerabilità di evasione dell’autenticazione di alta gravità. La falla, monito...