×
ItalianoEnglish

Grandangolo Communications

  • Home
  • Company
  • Servizi
    • Public Relation
    • Digital PR
    • Marketing
    • Lead Generation
    • Eventi
  • Best Practice
  • Customer Press Room
  • Contatti
  • Languages
  • Home
  • Customer Press Room
  • Information Tecnology
  • ESET scopre il primo bootkit UEFI per Linux

Customer Press Room

ESET scopre il primo bootkit UEFI per Linux

da grandangolo / martedì, 10 Dicembre 2024 / Pubblicato il Information Tecnology

Bootkitty contiene numerosi elementi che suggeriscono si tratti di un proof of concept e non di una minaccia concreta. Attesta però che i bootkit non sono più circoscritti ai sistemi Windows

I ricercatori di ESET, leader europeo globale nel mercato della cybersecurity, hanno scoperto il primo UEFI bootkit progettato per sistemi Linux, denominato Bootkitty dai suoi creatori. ESET ritiene che questo bootkit sia probabilmente un proof of concept iniziale e, in base alla telemetria, non sia stato ancora distribuito attivamente. Tuttavia, rappresenta la prima evidenza del fatto che i bootkit UEFI non siano più limitati ai sistemi Windows. L’obiettivo principale del bootkit è disabilitare la funzione di verifica della firma del kernel e precaricare due binari ELF ancora sconosciuti tramite il processo “init” di Linux, ossia il primo processo eseguito dal kernel durante l’avvio del sistema.

L’applicazione UEFI precedentemente sconosciuta, denominata bootkit.efi, è stata caricata su VirusTotal. Bootkitty è firmato con un certificato auto-generato, che lo rende incompatibile con sistemi che abbiano UEFI Secure Boot abilitato di default. Tuttavia, è progettato per avviare il kernel Linux senza problemi, indipendentemente dallo stato di UEFI Secure Boot, poiché modifica in memoria le funzioni necessarie alla verifica dell’integrità.

Il bootkit è un rootkit avanzato, capace di sostituire il boot loader e alterare il kernel prima della sua esecuzione. Bootkitty consente all’attaccante di ottenere il pieno controllo della macchina compromessa, inserendosi nel processo di avvio ed eseguendo malware prima che il sistema operativo venga avviato.

Nel corso dell’analisi, ESET ha individuato un modulo kernel non firmato, probabilmente correlato, che è stato denominato BCDropper. Gli elementi raccolti suggeriscono che potrebbe essere stato sviluppato dagli stessi autori di Bootkitty. Questo modulo distribuisce un binario ELF responsabile del caricamento di un altro modulo kernel ancora non identificato al momento dell’analisi.

“Bootkitty contiene numerosi elementi che suggeriscono che, allo stato dell’arte, si tratti di un proof of concept e non di una minaccia già diffusa. Tuttavia, anche se la versione presente su VirusTotal non rappresenta al momento una minaccia reale per la maggior parte dei sistemi Linux, poiché può colpire solo alcune versioni di Ubuntu, sottolinea l’importanza di prepararsi per potenziali minacce future”, spiega Martin Smolár, ricercatore di ESET che ha analizzato Bootkitty. “Per proteggere i sistemi Linux da queste minacce, è necessario assicurarsi che UEFI Secure Boot sia abilitato, che il firmware, il software di sicurezza e il sistema operativo siano aggiornati, così come la lista delle revoche UEFI”, aggiunge.

Durante i test condotti nell’ambiente di prova di ESET, i ricercatori hanno osservato che il kernel risultava marcato come “tainted” (corrotto), cosa che non accadeva in assenza del bootkit. Un altro metodo per verificare la presenza del bootkit su un sistema con UEFI Secure Boot abilitato è tentare di caricare un modulo kernel non firmato durante l’esecuzione. Se il bootkit è presente, il modulo verrà caricato; altrimenti, il kernel si rifiuterà di farlo. Una semplice soluzione per rimuovere il bootkit, se questo è stato distribuito come /EFI/ubuntu/grubx64.efi, consiste nello spostare il file legittimo /EFI/ubuntu/grubx64-real.efi nella sua posizione originale, ovvero /EFI/ubuntu/grubx64.efi.

Negli ultimi anni, il panorama delle minacce UEFI, in particolare dei bootkit, si è evoluto significativamente. Tutto è iniziato con il primo proof of concept di un bootkit UEFI descritto da Andrea Allievi nel 2012, che ha dimostrato la possibilità di distribuire bootkit su sistemi Windows moderni basati su UEFI, seguito da molti altri PoC (EfiGuard, Boot Backdoor, UEFI-bootkit). Ci sono voluti diversi anni per osservare i primi due bootkit UEFI reali scoperti (uno dei quali, ESPecter, è stato individuato da ESET nel 2021) e altri due anni prima che apparisse il famigerato BlackLotus – il primo bootkit UEFI capace di aggirare UEFI Secure Boot su sistemi aggiornati, scoperto da ESET nel 2023. Un elemento comune tra questi bootkit era il loro targeting esclusivo verso sistemi Windows.

Taggato in: Eset

Su grandangolo

Che altro puoi leggere

ESET ha scoperto informazioni riservate nei router aziendali riciclati
ESET lancia la campagna ‘Corri con ESET’
ESET: il gruppo Bahamut colpisce gli utenti Android con false app VPN per intercettare le conversazioni

Customer Press Room

  • Vertiv ha contribuito allo sviluppo del data center di VSIX a Padova: più connettività ed efficienza per il territorio

    Una soluzione all’avanguardia per l&#8217...
  • ESET analizza gli strumenti del gruppo APT TheWizards, affiliato alla Cina, con obiettivi in Asia e Medio Oriente

    Gli esperti di ESET Research hanno scoperto e a...
  • SentinelOne con la release Purple AI ‘Athena’ estende le funzionalità di Deep Security Reasoning, Agentic Detection and Response e i workflow di Hyperautomation a qualsiasi SIEM o sorgente di dati

    Il leader della cybersecurity AI svela la nuova...
  • D-Link porta la connettività intelligente a SPS Italia 2025: soluzioni industriali per l’automazione e la fabbrica connessa

    Il vendor presenta switch industriali e router ...
  • ESET amplia il supporto agli MSP con Kaseya VSA X

    Il vendor integra le soluzioni di protezione pe...

Archivi

  • Maggio 2025
  • Aprile 2025
  • Marzo 2025
  • Febbraio 2025
  • Gennaio 2025
  • Dicembre 2024
  • Novembre 2024
  • Ottobre 2024
  • Settembre 2024
  • Agosto 2024
  • Luglio 2024
  • Giugno 2024
  • Maggio 2024
  • Aprile 2024
  • Marzo 2024
  • Febbraio 2024
  • Gennaio 2024
  • Dicembre 2023
  • Novembre 2023
  • Ottobre 2023
  • Settembre 2023
  • Agosto 2023
  • Luglio 2023
  • Giugno 2023
  • Maggio 2023
  • Aprile 2023
  • Marzo 2023
  • Febbraio 2023
  • Gennaio 2023
  • Dicembre 2022
  • Novembre 2022
  • Ottobre 2022
  • Settembre 2022
  • Agosto 2022
  • Luglio 2022
  • Giugno 2022
  • Maggio 2022
  • Aprile 2022
  • Marzo 2022
  • Febbraio 2022
  • Gennaio 2022
  • Dicembre 2021
  • Novembre 2021
  • Ottobre 2021
  • Settembre 2021
  • Agosto 2021
  • Luglio 2021
  • Giugno 2021
  • Maggio 2021
  • Aprile 2021
  • Marzo 2021
  • Febbraio 2021
  • Gennaio 2021
  • Dicembre 2020
  • Novembre 2020
  • Ottobre 2020
  • Settembre 2020
  • Agosto 2020
  • Luglio 2020
  • Giugno 2020
  • Maggio 2020
  • Aprile 2020
  • Marzo 2020
  • Febbraio 2020
  • Gennaio 2020
  • Dicembre 2019
  • Novembre 2019
  • Ottobre 2019
  • Settembre 2019
  • Agosto 2019
  • Luglio 2019
  • Giugno 2019
  • Maggio 2019
  • Aprile 2019
  • Marzo 2019
  • Febbraio 2019
  • Gennaio 2019
  • Dicembre 2018

Categorie

  • A10
  • Abstract
  • abstract
  • Acronis
  • Ally Consulting
  • Arrow
  • Arrow Electronics
  • Axiante
  • Babel
  • Centro Computer
  • Cohesity
  • Consorzio Italia Cloud
  • Consys
  • D-Link
  • Eset
  • G.B. Service
  • Habble
  • HiSolution
  • HYCU
  • Icos
  • Information Tecnology
  • Ivanti
  • Link11
  • MobileIron
  • Netalia
  • Nethive
  • Nexthink
  • Nuvias
  • Praim
  • QAD
  • Qualys
  • Red Hot Cyber
  • Riverbed
  • Saviynt
  • Sensormatic
  • SentinelOne
  • Talentia Software
  • Vectra
  • Vectra AI
  • Vertiv

Ufficio stampa, digital PR, marketing, lead generation: tutti i progetti nascono dalla nostra passione e competenza, con un tocco immancabile di creatività e innovazione.

COMPANY

Grandangolo Communications Srl
Via Sardegna 19
20146 Milano
Telefono +39 335 8283393
info@grandangolo.it

I SERVIZI

  • Home
  • Company
  • Servizi
  • Best Practice
  • Customer Press Room
  • Contatti
  • Languages

CONTATTI

  • Contatti
  • Cookie policy
  • Privacy policy

© 2019 GRANDANGOLO COMMUNICATIONS SRL | P.IVA IT 06394850967 | All rights reserveD.

Powered by Webpowerplus

TORNA SU