Investigadores en ciberseguridad han anunciado recientemente el descubrimiento de «Bootkitty», el primer bootkit diseñado para sistemas Linux que explota vulnerabilidades en la interfaz de firmware UEFI. Este software malicioso, que fue subido a la plataforma VirusTotal el pasado 5 de noviembre de 2024, es un cambio importante en las amenazas de ciberseguridad, anteriormente limitado a sistemas Windows. Aunque actualmente se considera un concepto de prueba (PoC, por sus siglas en inglés), Bootkitty destaca por su capacidad para eludir medidas de seguridad como Secure Boot y comprometer la integridad del kernel de Linux.
El principal objetivo de Bootkitty es desactivar las verificaciones de firmas del kernel y cargar dos binarios ELF desconocidos a través del proceso de inicialización de Linux. Utilizando un certificado autofirmado, el bootkit modifica funciones críticas del cargador de arranque GRUB y del kernel de Linux, permitiendo que sistemas con Secure Boot habilitado sean vulnerables si ya se han instalado certificados controlados por atacantes.
Cómo opera Bootkitty
El funcionamiento de este malware se centra en la manipulación del proceso de arranque. Una vez activado, el bootkit engancha dos funciones de los protocolos de autenticación UEFI para omitir las comprobaciones de integridad. También modifica el proceso de descompresión del kernel de Linux, permitiendo la inserción de módulos maliciosos que no requieren firmas válidas. Esto se logra mediante la alteración de la variable de entorno LD_PRELOAD, que fuerza la carga de archivos compartidos ELF maliciosos durante la inicialización del sistema.
Una investigación adicional descubrió un módulo del kernel relacionado, denominado BCDropper, que implanta otro programa conocido como BCObserver. Este último carga un módulo del kernel no identificado tras el inicio del sistema. Tanto BCDropper como BCObserver implementan funcionalidades típicas de rootkits, como ocultar procesos, archivos y puertos abiertos. Aunque no hay evidencia que relacione a Bootkitty con grupos como el ransomware ALPHV/BlackCat, su firma de autor utiliza el mismo alias.
Por otro lado, un exploit denominado LogoFAIL ha sido vinculado a Bootkitty, permitiendo la instalación de claves de firma maliciosas en firmware UEFI de dispositivos vulnerables. Este exploit, que afecta a sistemas de fabricantes como Acer, HP, Fujitsu y Lenovo, utiliza imágenes bitmap para inyectar código shell, evitando así la interacción del usuario en el proceso de instalación.
El impacto de Bootkitty está limitado a configuraciones específicas, ya que utiliza patrones de bytes codificados para identificar versiones compatibles del kernel y GRUB. Sin embargo, su existencia subraya la necesidad de reforzar la seguridad en sistemas Linux frente a amenazas previamente asociadas sólo con Windows. Entre las medidas de mitigación se incluye mantener el firmware UEFI actualizado, habilitar Secure Boot y revocar certificados sospechosos.
