Conoce el Primer Malware Bootkit UEFI para Linux

Acaban de descubrir el primer bootkit UEFI diseñado específicamente para Linux, lo que supone un giro importante en este tipo de malware que, hasta ahora, se enfocaba casi exclusivamente en sistemas Windows. El malware, llamado "BootKitty", es más bien una prueba de concepto por el momento, ya que solo funciona en ciertas versiones y configuraciones específicas de Ubuntu. No se trata de una amenaza completamente funcional que esté siendo usada activamente en ataques, pero su existencia es un claro indicador de hacia dónde podrían ir las cosas.

¿Qué es un bootkis?

Los bootkits son un tipo de malware que se mete directamente en el proceso de arranque de un sistema. Básicamente, se cargan antes que el sistema operativo, dándole al atacante control total desde las capas más bajas del sistema.

Esto les da una gran ventaja: como operan por debajo del sistema operativo, pueden evadir antivirus, firewalls y cualquier herramienta de seguridad estándar. Además, pueden modificar componentes clave del sistema o inyectar código malicioso sin ser detectados.

Según los investigadores de ESET, que fueron quienes descubrieron BootKitty, este hallazgo representa un paso importante en la evolución de los bootkits UEFI. Aunque por ahora su impacto en el mundo real es limitado, es una señal clara de que las amenazas están avanzando, y los sistemas Linux ya no están tan a salvo como se pensaba.

Un bootkit para Linux en fase inicial

Los investigadores de ESET dieron con BootKitty mientras analizaban un archivo sospechoso llamado bootkit.efi, subido a VirusTotal en noviembre de 2024. Después de estudiarlo a fondo, confirmaron algo sin precedentes: era el primer bootkit UEFI diseñado específicamente para Linux, capaz de saltarse la verificación de firmas del kernel y cargar componentes maliciosos durante el arranque del sistema.

Sin embargo, BootKitty todavía está en pañales. Depende de un certificado autofirmado, lo que significa que no puede ejecutarse en sistemas que tengan habilitado el Arranque Seguro (Secure Boot). Además, está diseñado para funcionar solo con algunas versiones específicas de Ubuntu.

Otra limitación importante es que usa desplazamientos codificados y patrones de bytes muy básicos para identificar componentes del sistema, lo que lo hace compatible únicamente con ciertas versiones de GRUB y del kernel de Linux. Esto significa que, al menos por ahora, BootKitty no puede usarse en ataques masivos ni en entornos más diversos.

ESET también destacó que el malware parece estar lejos de estar terminado. Contiene varias funciones que no se utilizan y tiene problemas importantes con la compatibilidad de versiones del kernel, lo que con frecuencia provoca fallos en el sistema. A pesar de estas limitaciones, los investigadores advierten que el desarrollo de un bootkit UEFI para Linux es una señal preocupante, ya que podría abrir la puerta a amenazas más sofisticadas en el futuro.

Arte ASCII contenido en el bootkit

Por ahora, BootKitty sigue siendo un trabajo en proceso. Esto se debe a que no se ha detectado señales de que esté siendo utilizado en sistemas activos, según su telemetría, lo que indica que el malware aún se encuentra en una fase temprana de desarrollo.

Conoce más sobre:  Análisis de Malware con Wazuh

¿Qué puede hacer BootKitty?

Aunque no está completamente listo, BootKitty ya tiene algunas capacidades bastante inquietantes. Así es como opera:

1. Saltarse el Secure Boot: Durante el arranque, BootKitty utiliza protocolos de seguridad UEFI como EFI_SECURITY2_ARCH_PROTOCOL y EFI_SECURITY_ARCH_PROTOCOL para esquivar las verificaciones de integridad de Secure Boot. Básicamente, esto le permite cargarse sin importar si las políticas de seguridad del sistema están habilitadas o no.
   
   
2. Modificar el cargador de arranque (GRUB): Una vez activo, BootKitty engancha funciones clave de GRUB, como start_image y grub_verifiers_open, desactivando las comprobaciones de firma del gestor de arranque. Esto significa que puede cargar binarios, incluido el kernel de Linux, sin que se revisen sus firmas de seguridad.
   
   
3. Engañar al núcleo de Linux: Durante el proceso de arranque, BootKitty intercepta la descompresión del núcleo de Linux y engancha la función module_sig_check. De esta manera, manipula las verificaciones de los módulos del kernel, obligándolas a devolver siempre un resultado positivo, incluso si el módulo que se está cargando es malicioso.
   
   
4. Inyectar bibliotecas maliciosas: BootKitty reemplaza una de las variables de entorno por LD_PRELOAD=/opt/injector.so, lo que asegura que una biblioteca maliciosa se inyecte automáticamente en los procesos cada vez que se inicia el sistema. Esto le permite manipular las aplicaciones y el sistema de forma muy discreta.

Parte del flujo de ejecución de Bootkitty (Fuente: ESET)

Este proceso deja varios rastros, algunos intencionales y otros más bien accidentales, lo que demuestra que BootKitty aún no está completamente pulido. Los investigadores también notaron algo curioso: el mismo usuario que subió BootKitty a VirusTotal también subió otro archivo sospechoso, un módulo de kernel no firmado llamado BCDropper, aunque la conexión entre ambos no es del todo clara.

BCDropper, por su parte, instala un archivo ELF llamado BCObserver, que actúa como un módulo del kernel con capacidades de rootkit. Este rootkit es capaz de esconder archivos y procesos, además de abrir puertos en el sistema comprometido, lo que lo hace perfecto para operaciones maliciosas sin levantar sospechas.

Lo preocupante de este descubrimiento es que deja en evidencia un cambio en la estrategia de los atacantes: están comenzando a desarrollar malware para Linux que antes solo se veía en entornos Windows. Esto tiene sentido, considerando que cada vez más empresas están adoptando Linux para sus servidores y operaciones críticas.

Te podrá interesar leer:  Nuevo Malware Usa Avast para Infectar Ordenadores en Segundos

¿Por qué es preocupante?

Aunque BootKitty no esté listo para desplegarse a gran escala, ya muestra un nivel avanzado de manipulación en las capas más críticas del sistema operativo. Y aunque hoy solo afecte a versiones específicas de Ubuntu y GRUB, su desarrollo sugiere que los atacantes están trabajando en formas cada vez más sofisticadas de comprometer sistemas Linux desde el nivel más bajo posible.