Durante mucho tiempo se ha dicho que los sistemas operativos basados en Linux son intrínsecamente más seguros que Windows. Si esto es cierto o no está abierto a debate, al igual que el impacto que tiene el número de usuarios a la hora de convertir un sistema operativo en objetivo de los creadores de malware.
Una de las principales preocupaciones en materia de seguridad en los últimos tiempos han sido los kits de arranque UEFI, y ha sido algo que ha afectado únicamente a los sistemas basados en Windows. Ahora, sin embargo, la empresa de seguridad ESET ha revelado detalles sobre Bootkitty, el primer bootkit* UEFI diseñado para sistemas Linux.
Los bootkits UEFI son especialmente preocupantes porque son difíciles de detectar y de eliminar. Esto se suma al hecho de que este tipo de malware permite a un atacante controlar un sistema desde el nivel más básico, ya que el bootkit está activo incluso antes de que se cargue el sistema operativo.
ESET descubrió el malware bootkit UEFI dirigido a Linux, apodado Bootkitty, tras detectar la aplicación bootkit.efi UEFI, desconocida hasta entonces, en VirusTotal. La aparición de este tipo de malware para Linux es muy preocupante, pero ESET no sugiere -todavía- que sea necesario entrar en pánico:
Creemos que este bootkit no es más que una prueba inicial de concepto, y basándonos en nuestra telemetría, no se ha desplegado en la naturaleza. Dicho esto, su existencia subraya un mensaje importante: Los kits de arranque UEFI ya no se limitan únicamente a los sistemas Windows.
El objetivo principal del bootkit es deshabilitar la función de verificación de firma del kernel y precargar dos binarios ELF aún desconocidos a través del proceso init de Linux (que es el primer proceso ejecutado por el kernel de Linux durante el arranque del sistema). Durante nuestro análisis, descubrimos un módulo del kernel posiblemente relacionado y sin firma — con indicios que sugieren que podría haber sido desarrollado por el mismo autor o autores que el bootkit — que despliega un binario ELF responsable de cargar otro módulo del kernel desconocido durante nuestro análisis.
Bootkitty está dirigido a un puñado de distribuciones de Ubuntu y, tranquilizadoramente por ahora, está «firmado por un certificado autofirmado, por lo que no es capaz de ejecutarse en sistemas con UEFI Secure Boot habilitado a menos que los certificados de los atacantes hayan sido instalados».
Pero aunque la amenaza potencial que supone Bootkitty se ve diluida por varias advertencias de este tipo, el malware sigue indicando un marcado cambio en el enfoque de los ataques y las capacidades del malware en general.
*Diferencias entre Bootkit y Rootkit en la publicacion de ESET aquí
Fuente ESET | Editado por CambioDigital OnLine
