Linux için dünyanın ilk UEFI bootkit’i: Bootkitty




ESET’in siber güvenlik araştırmacıları, Linux işletim sistemi için geliştirilen ilk UEFI bootkit olan Bootkitty’yi keşfetti. Bu gelişme, açık kaynaklı Linux platformunun da artık siber suçluların hedef tahtasında olduğunu ve artık Windows’ta olduğu gibi Linux çekirdeğinin en alt seviyelerine ulaşmaya çalıştıklarını gösteriyor.

Linux için bootkit dönemi başlıyor

Bootkitty, işletim sisteminin başlangıç aşamasını hedefleyen bir zararlı yazılım türü olan UEFI bootkit olarak tanımlanıyor. Bu tür yazılımlar, işletim sistemi ve kullanıcı uygulamaları üzerinde tam kontrol elde edebilmek için başlangıç yükleyicisini değiştiriyor veya ele geçiriyor. Daha önce Windows sistemlerinde örneklerini gördüğümüz BlackLotus gibi bootkitlerin Linux’a taşınması, siber güvenlik dünyasında endişe yaratıyor. Eset analistleri kısa bir süre önce bootkit’i daha önce bilinmeyen bir UEFI uygulamasında (bootkit.efi) keşfetti ve bu uygulama VirusTotal’a yüklenmiş durumda.




Öte yandan araştırmacılar Bootkitty’nin Linux’u hedef aldığını ancak yalnızca belirli Ubuntu dağıtımlarına karşı çalıştığını doğruladı. Bootkitty, Linux kerneline ve GRUB önyükleyiciye müdahale etmek için özel rutinler içeriyor. Bu yazılım, “teorik” olarak Secure Boot (Güvenli Önyükleme) etkinleştirilmiş olsa bile Linux çekirdeğini “sorunsuzca” başlatabiliyor ve ardından sistem açılışında kendisini çalıştırarak zararlı işlemlerine başlayabiliyor. Ancak dediğimiz gibi; teorik olarak. Pratikte ise Bootkitty, henüz Güvenli Önyükleme’yi geçersiz kılamıyor.

Fakat yazılımın bu aşamada hala tam anlamıyla çalışmadığı ve kodunun geliştirilme sürecinde olduğu ifade ediliyor. Bootkitty’deki birçok hata ve eksik özellik, zararlı yazılımın henüz konsept aşamasında olduğunu gösteriyor. Araştırmacılar ayrıca, bu bootkit ile bağlantılı olabilecek BCDropper isimli bir çekirdek modülünü de tespit etti. Bu modül, Linux çekirdeği için zararlı programlar yüklemek amacıyla tasarlanmış durumda.

Bootkitler, işletim sistemi düzeyinde derin bir kontrol sağlayarak geleneksel güvenlik önlemlerini etkisiz hale getirebiliyor. Linux kullanıcılarının güvenliği için şimdiye kadar nispeten düşük bir tehdit seviyesi söz konusu olsa da, bu durum hızla değişiyor. Bootkitler ve UEFI rootkitleri geleneksel olarak yalnızca Windows sistemlerini hedef alsa da Linux platformları da artık cazip bir hedef haline gelmeye başlamış durumda.