Siber güvenlik şirketi ESET, Linux sistemleri için tasarlanan ve yaratıcıları tarafından Bootkitty olarak adlandırılan ilk UEFI bootkit’ini keşfetti. Bu keşif UEFI önyükleme kitlerinin artık yalnızca Windows sistemleriyle sınırlı olmadığının ilk kanıtı olma özelliğini taşıyor.
Unified Extensible Firmware Interface kelimelerinin kısaltması olan UEFI, anakart kontrol yazılımı olarak biliniyor. UEFI işletim sistemi başlatılmadan önce, bilgisayar çalıştığında harekete geçen bir yazılım. Siber suçlular UEFI kodunu değiştirirse bu kodu kurbanın sistemine kötü amaçlı yazılım göndermek için kullanabilmeleri de mümkün oluyor. Bootkitise sahibinin bilgisi olmadan bilgisayar üzerinde düşük düzeyde kontrol elde etmek için tasarlanmış bir tür kötü amaçlı yazılım olarak tanımlanıyor.
Kasım 2024’te VirusTotal’a bootkit.efi adlı daha önce bilinmeyen bir uygulama yüklendikten sonra ESET Research yaptığı incelemede bunun bir UEFI uygulaması olduğunu keşfetti. Yapılan derinlemesine analizler sonrasında, yaratıcıları tarafından Bootkitty olarak adlandırılan bir UEFI önyükleme kiti olduğunu doğruladı; şaşırtıcı bir şekilde, Linux’u özellikle birkaç Ubuntu sürümünü hedef alan ilk UEFI önyükleme kitidir. Bootkit, bunun bir tehdit aktörünün çalışmasından çok bir kavram kanıtı olduğunu düşündüren birçok eser içeriyor.
Bootkitty kendinden imzalı bir sertifika ile imzalanmış, bu nedenle varsayılan olarak UEFI güvenli önyüklemenin etkin olduğu sistemlerde çalışamaz. Ancak Bootkitty, bütünlük doğrulamasından sorumlu gerekli işlevleri bellekte yamaladığı için UEFI güvenli önyükleme etkin olsun ya da olmasın Linux çekirdeğini sorunsuz bir şekilde önyüklemek üzere tasarlanmıştır. Bootkit, önyükleme yükleyicisinin yerini alabilen ve yürütülmeden önce çekirdeğe yama uygulayabilen gelişmiş bir rootkit’tir. Bootkitty, makinenin önyükleme sürecini ele geçirdiği ve işletim sistemi daha başlamadan kötü amaçlı yazılımı çalıştırdığı için saldırganın etkilenen makine üzerinde tam kontrol sahibi olmasını sağlar.
Analiz sırasında ESET, Bootkitty ile aynı yazarlar tarafından geliştirilmiş olabileceğini düşündüren işaretlerle birlikte ESET’in BCDropper olarak adlandırdığı muhtemelen ilişkili imzasız bir çekirdek modülü keşfetti. Analiz sırasında bilinmeyen başka bir çekirdek modülünü yüklemekten sorumlu bir ELF ikili dosyası dağıtıyor.
Bootkitty’yi analiz eden ESET araştırmacısı Martin Smolár şu açıklamayı yaptı : “Bootkitty, bunun bir tehdit aktörünün çalışmasından çok bir kavram kanıtı olduğunu düşündüren birçok eser içeriyor. VirusTotal’daki mevcut sürüm, yalnızca birkaç Ubuntu sürümünü etkileyebildiği için şu anda Linux sistemlerinin çoğu için gerçek bir tehdit oluşturmasa da gelecekteki potansiyel tehditlere karşı hazırlıklı olmanın gerekliliğini vurguluyor. Linux sistemlerinizi bu tür tehditlere karşı güvende tutmak için UEFI güvenli önyüklemenin etkin olduğundan, sistem yazılımınızın, güvenlik yazılımınızın ve işletim sisteminizin güncel olduğundan ve UEFI iptal listenizin de güncel olduğundan emin olun.”
Kaynak: (BYZHA) Beyaz Haber Ajansı
