Linux için dünyanın ilk UEFI bootkit’i: Bootkitty

Siber güvenlik şirketi ESET’in araştırmacıları, Linux işletim sistemi için tasarlanmış ilk UEFI bootkit (bilgisayarın açılmasını sağlayan yazılımı hedef alan zararlı yazılım) olan Bootkitty’yi keşfetti. 

Bu gelişme, açık kaynaklı Linux platformunun da artık siber suçluların odağı haline geldiğini ve Windows işletim sistemlerinde olduğu gibi Linux sistemlerinin de tehdit altında olduğunu gösteriyor.

Zararlı yazılım bootkit, işletim sistemi ve kullanıcı uygulamaları üzerinde tam kontrol sağlamak amacıyla başlangıç yükleyicisini değiştirmeye ya da ele geçirmeye çalışıyor ancak yazılımın şu anda tam anlamıyla işlevsel olmadığı ve geliştirilme sürecinde olduğu belirtiliyor. Bootkitty’deki çeşitli hatalar ve eksiklikler, bu zararlı yazılımın henüz bir konsept aşamasında olduğunu gösteriyor.

Analistler, Bootkitty’nin Linux işletim sistemini hedef aldığını ancak yalnızca belirli Ubuntu (Linux’un bir versiyonu) dağıtımlarına karşı çalıştığını ve Linux kerneline (işletim sisteminin temel bileşeni) ve GRUB önyükleyicisine (sistemin açılışını başlatan yazılım) müdahale etmek için özel yazılımlarla geliştirildiğini keşfetti.

Bu sayede Bootkitty, Secure Boot (Güvenli Önyükleme) etkinleştirilmiş olsa bile Linux sistemini başlatabiliyor ve ardından kendini çalıştırarak zararlı işlemlerine başlayabiliyor. Ancak, bu durum henüz yalnızca teorik bir olasılık. Pratikte, Bootkitty şu an için Güvenli Önyükleme’yi devre dışı bırakmayı başaramıyor.

Analistler ayrıca bu bootkit ile bağlantılı olabilecek BCDropper (zararlı yazılımlar yüklemek için tasarlanmış modül) isimli bir çekirdek modülünü de tespit etti. Bu modül, Linux çekirdeği için zararlı programlar yüklemek amacıyla tasarlanmış. Bootkitler, işletim sistemi düzeyinde derin bir kontrol sağlayarak geleneksel güvenlik önlemlerini etkisiz hale getirebiliyor. Linux kullanıcılarının güvenliği için şimdiye kadar nispeten düşük bir tehdit seviyesi söz konusu olsa da, bu durum hızla değişiyor. 

Kaynak: Techspot