Mối Đe Dọa Từ Bootkit Mới Trên Linux: Bootkitty
Bootkitty đang đánh dấu một bước ngoặt mới trong thế giới bootkit, khi chuyển từ các hệ thống Windows sang Linux, đặc biệt nhắm tới đối tượng Ubuntu.
Trong thập kỷ qua, một lớp phần mềm độc hại mới đã trở thành mối đe dọa với người dùng Windows, thông qua việc xâm nhập vào firmware hoạt động trước khi hệ điều hành được tải. Những bootkit UEFI này có khả năng hoạt động ngay cả khi ổ cứng bị thay thế hoặc định dạng lại. Giờ đây, loại mã độc chip đột nhập này đã được phát hiện hoạt động trên hệ thống Linux.
Các nhà nghiên cứu từ công ty an ninh thông tin ESET mới đây đã phát hiện Bootkitty—được tải lên VirusTotal trong tháng này—là một bootkit dành cho Linux. Mặc dù sơ khai so với các phiên bản Windows, Bootkitty vẫn có hạn chế quan trọng và không thể nhiễm vào mọi phiên bản Linux ngoài trừ Ubuntu. Các nhà nghiên cứu nghi ngờ đây là phiên bản thử nghiệm bằng chứng khái niệm.
Một rootkit là mã độc vận hành trong những vị trí cốt yếu của hệ điều hành, giấu thông tin từ chính hệ thống mà nó xâm nhập. Bootkit là loại mã độc ảnh hưởng đến quá trình khởi động, mãi mãi trú đóng trong firmware của chip, có thể xâm nhập vào hệ điều hành một cách lén lút trước khi các biện pháp bảo vệ được kích hoạt.
Việc cài đặt bootkit cần quyền kiểm soát quản trị viên máy mục tiêu, đòi hỏi tiếp cận vật lý hoặc khai thác lỗ hổng nghiêm trọng. Bootkit có khả năng mạnh mẽ vì chúng vận hành trước khi hệ điều hành hoạt động, gần như không thể phát hiện và loại bỏ.
Bootkitty không phá vỡ được bảo vệ UEFI Secure Boot, cơ chế ngăn ngừa mã độc thông qua mã hóa chữ ký. Secure Boot tạo chuỗi tin cậy ngăn cản sự thay thế firmware khởi động bằng firmware độc hại.
Trong khi Bootkitty chỉ hoạt động trên một số phiên bản Ubuntu, nó vẫn tồn tại những lỗi khi xử lý lõi Linux bị giải nén. Như các nhà nghiên cứu ESET đã giải thích, nó dễ dàng khiến hệ thống sụp đổ thay vì gây hại.
Đáng chú ý là một thực thể đe dọa đang đầu tư tài nguyên và kiến thức chuyên sâu để phát triển bootkit UEFI cho Linux. Nhu cầu về các biện pháp bảo vệ cho UEFI trên cả hệ điều hành Windows và Linux sẽ tăng lên trong tương lai.
Ở thời điểm này, dù Bootkitty chưa thực sự là mối đe dọa đáng kể, nó nhấn mạnh tầm quan trọng của việc chuẩn bị đối phó với các risk tiềm ẩn trong tương lai.
