UEFI Bootkit Bootkitty Linux Sistemlerinde Keşfedildi
Siber güvenlik firması ESET, Linux sistemleri için geliştirilen ve Bootkitty olarak adlandırılan ilk UEFI bootkit’i keşfetti. Bu keşif, UEFI önyükleme kitlerinin artık sadece Windows sistemleriyle sınırlı olmadığının ilk kanıtı olarak kabul ediliyor.
UEFI, Unified Extensible Firmware Interface’nin kısaltması olup, anakart kontrol yazılımı olarak bilinmektedir. UEFI, bilgisayarın başlatılmasından önce çalışan bir yazılımdır. Siber suçlular, UEFI kodunu değiştirerek kurbanın sistemine kötü amaçlı yazılım gönderebilirler. Bootkit ise sahibinin haberi olmadan bilgisayar üzerinde düşük seviyede kontrol sağlayan kötü amaçlı yazılımlar olarak tanımlanmaktadır.
Kasım 2024’te VirusTotal’a yüklenen bootkit.efi adlı bilinmeyen bir uygulama üzerinde yapılan ESET Research incelemesi sonucunda, bu uygulamanın bir UEFI uygulaması olduğu tespit edildi. Detaylı analizler sonucunda, Bootkitty olarak adlandırılan bir UEFI önyükleme kiti olduğu doğrulandı ve şaşırtıcı bir şekilde, Linux’u özellikle birkaç Ubuntu sürümünü hedefleyen ilk UEFI önyükleme kitidir. Bootkit, bir tehdit aktörünün çalışmasından çok bir kavram kanıtı olduğunu düşündüren birçok detay içermektedir.
Bootkitty kendinden imzalı bir sertifika ile imzalandığı için varsayılan olarak UEFI güvenli önyükleme etkin sistemlerde çalışamaz. Ancak, Bootkitty, bütünlük doğrulamasından sorumlu gerekli işlevleri bellekte yamaladığı için Linux çekirdeğini sorunsuz bir şekilde önyüklemek için tasarlanmıştır. Bootkit, önyükleme yükleyicisinin yerine geçebilen ve yürütülmeden önce çekirdeğe yama uygulayabilen gelişmiş bir rootkit’tir. Bootkitty, makinenin önyükleme sürecini ele geçirerek işletim sistemi başlamadan kötü amaçlı yazılımı çalıştırabilen saldırganın etkilenen makine üzerinde tam kontrol sahibi olmasını sağlar.
ESET’in analizi sırasında, aynı yazarlar tarafından geliştirilmiş olabileceğini düşündüren işaretlerle birlikte ESET’in BCDropper olarak adlandırdığı muhtemelen ilişkili imzasız bir çekirdek modülü keşfedildi. Analiz sırasında, bilinmeyen başka bir çekirdek modülünü yüklemekten sorumlu bir ELF ikili dosyası dağıttığı tespit edildi.
ESET araştırmacısı Martin Smolár, Bootkitty üzerine yaptığı açıklamada şunları söyledi: “Bootkitty, bir tehdit aktörünün çalışmasından çok bir kavram kanıtı olduğunu düşündüren birçok detay içeriyor. VirusTotal’deki mevcut sürüm, şu anda sadece birkaç Ubuntu sürümünü etkileyebilmesine rağmen, Linux sistemlerinin çoğu için potansiyel bir tehdit oluşturabileceği göz ardı edilmemelidir. Linux sistemlerinizi bu tür tehditlere karşı korumak için UEFI güvenli önyükleme etkin olduğundan emin olun.”
