Na última década, uma nova classe de infecções ameaçou os usuários do Windows. Ao infectar o firmware executado imediatamente antes do carregamento do sistema operacional, esses bootkits UEFI continuam a funcionar mesmo quando o disco rígido é substituído ou reformatado. Agora, o mesmo tipo de malware residente em chips foi encontrado à solta para backdoor em máquinas Linux.
Pesquisadores da empresa de segurança ESET disseram na quarta-feira que Bootkitty – o nome que agentes de ameaças desconhecidos deram ao seu bootkit Linux – foi carregado no VirusTotal no início deste mês. Comparado com seus primos do Windows, o Bootkitty ainda é relativamente rudimentar, contendo imperfeições nas principais funcionalidades internas e sem meios para infectar todas as distribuições Linux, exceto o Ubuntu. Isso levou os pesquisadores da empresa a suspeitar que o novo bootkit é provavelmente uma prova de conceito. Até o momento, a ESET não encontrou nenhuma evidência de infecções reais na natureza.
Esteja preparado
Ainda assim, Bootkitty sugere que os agentes de ameaças podem estar desenvolvendo ativamente uma versão Linux do mesmo tipo de bootkit impossível de matar que anteriormente era encontrado apenas visando máquinas Windows.
“Seja uma prova de conceito ou não, o Bootkitty marca um avanço interessante no cenário de ameaças UEFI, quebrando a crença de que os bootkits UEFI modernos são ameaças exclusivas do Windows”, pesquisadores da ESET escreveu. “Mesmo que a versão atual do VirusTotal não represente, no momento, uma ameaça real para a maioria dos sistemas Linux, ela enfatiza a necessidade de estar preparado para potenciais ameaças futuras.”
Um rootkit é um malware executado nas regiões mais profundas do sistema operacional que infecta. Aproveita esta posição estratégica para ocultar informações sobre a sua presença do próprio sistema operativo. Enquanto isso, um bootkit é um malware que infecta o UEFI – abreviação de Interface de firmware extensível unificada– da mesma maneira. Ao se esconderem sem serem detectados no firmware que reside em um chip e é executado sempre que uma máquina é inicializada, os bootkits podem persistir indefinidamente, fornecendo um meio furtivo de backdoor no sistema operacional, mesmo antes de ele ter sido totalmente carregado e ativado defesas de segurança, como software antivírus.
A barreira para instalar um bootkit é alta. Primeiro, um invasor deve obter o controle administrativo da máquina visada, seja por meio de acesso físico enquanto ela está desbloqueada ou de alguma forma explorando uma vulnerabilidade crítica no sistema operacional. Nessas circunstâncias, os invasores já têm a capacidade de instalar malware residente no sistema operacional. Os bootkits, no entanto, são muito mais poderosos, pois (1) são executados antes do sistema operacional e (2) são, pelo menos na prática, indetectáveis e irremovíveis.