Bootkitty es el nombre que los investigadores de seguridad de ESET han puesto a un desarrollo malicioso que destaca por ser el primer bootkit UEFI destinado específicamente a sistemas Linux.

Este tipo de malware es uno de los más peligrosos ya que se diseña para infectar el proceso de arranque de una computadora, cargándose antes de que lo haga el sistema operativo. Ello le permite evadir las herramientas de seguridad instaladas a nivel de sistema, modificar componentes del mismo e inyectar código malicioso sin riesgo de ser detectados.

Bootkitty, el primer malware UEFI para Linux

Este desarrollo «es una evolución significativa en el espacio de amenazas de los bootkit UEFI», dicen desde ESET. Y ello a pesar de que se trata de un malware que solo afecta a algunas versiones y configuraciones concretas de distribuciones GNU/Linux como Ubuntu en lugar de ser una amenaza completamente desarrollada implementada en ataques reales.

Pero es que es el primero de su tipo para sistemas Linux, el primer caso de un bootkit UEFI de Linux capaz de eludir la verificación de la firma del kernel y precarga componentes maliciosos durante el proceso de arranque del sistema. La firma de seguridad lo descubrió después de examinar un archivo sospechoso (bootkit.efi) cargado en VirusTotal este mismo mes.

Análisis de Bootkitty

Tras el análisis, ESET confirmó su innovación, si bien se cree que por sus limitaciones y falta de refinamiento que estaba en una etapa temprana de desarrollo. Y es que Bootkitty se basa en un certificado autofirmado, por lo que no será capaz de instalarse en sistemas con la función de arranque seguro habilitado. También tiene funciones no utilizadas y maneja deficientemente la compatibilidad de versiones del kernel, mientras que sus limitaciones de código a versiones específicas de GRUB y kernel, no lo adecua para una implementación generalizada.

Implicaciones y amenazas futuras

Aún así, es muy peligroso. El descubrimiento de este tipo de malware ilustra cómo los atacantes están desarrollando malware para Linux que antes estaba limitado a Windows. Uno de los últimos bootkit UEFI para Windows, ‘BlackLotus’, incluso era capaz de omitir el arranque seguro de Windows. Se trata de un bootkit UEFI que se implementa en el firmware de los equipos informáticos y permite un control total sobre el proceso de inicio del sistema operativo, lo que hace posible deshabilitar los mecanismos de seguridad a nivel del sistema operativo e implementar cargas útiles arbitrarias durante el inicio con privilegios de administrador.

Más allá de que Bootkitty tenga un impacto limitado, BlackLotus es una buena muestra de lo que puede terminar llegando a Linux. Una confirmación de la mayor adopción del sistema libre, especialmente en empresas, que no está pasando desapercibida entre los ciberdelincuentes.