Web Analytics Made Easy - Statcounter

اولین بدافزار بوت‌کیت در لینوکس با نام «بوت‌کیتی» کشف شد

بوت‌کیتی، اولین بوت‌کیت کشف‌شده برای لینوکس و نشان‌دهنده افزایش تهدیدات پیشرفته علیه این سیستم‌عامل است.
ارسال شده توسط تیم تحریریه آی‌تی‌جو ۱۲ آذر ۱۴۰۳ نرم افزار و اپلیکیشن

کشف یک بدافزار جدید، زنگ هشدار درباره تهدیدهای جدید علیه سیستم‌های لینوکس را به صدا درآورده است. لینوکس که زمانی به عنوان یک پلتفرم امن‌تر در برابر این‌گونه حملات شناخته می‌شد، اکنون توجه مجرمان سایبری را به خود جلب کرده است. نویسندگان بدافزار که مدت‌هاست ویندوز را در عمیق‌ترین سطوح کرنل هدف قرار داده‌اند، اکنون به سمت لینوکس روی آورده‌اند.

این بدافزار جدید که «بوت‌کیتی» نام دارد، یک بوت‌کیت مخصوص لینوکس است. محققان ESET این بدافزار را در یک فایل ناشناخته برنامه UEFI (با نام bootkit.efi) پیدا کردند که در وب‌سایت ویروس‌توتال آپلود شده بود. اگرچه این بدافزار هنوز کامل نیست، اما به‌عنوان اولین بوت‌کیت UEFI شناخته‌شده برای سیستم‌های لینوکس معرفی شده است.

بوت‌کیت چیست؟

بوت‌کیت‌ها، مانند بوت‌کیت مشهور بلک‌لوتوس، سیستم را در مرحله راه‌اندازی هدف قرار می‌دهند. این بدافزارها با جایگزین کردن یا تغییر در فرآیند بوت، خود را از دید کاربران و نرم‌افزارهای امنیتی مخفی می‌کنند و کنترل تقریباً کامل سیستم‌عامل و برنامه‌های کاربردی را به دست می‌گیرند.

یافته‌های کلیدی درباره بوت‌کیتی

محققان ESET تأیید کردند که بوت‌کیتی به طور خاص سیستم‌های لینوکس را هدف قرار می‌دهد، اما به نظر می‌رسد تنها بر روی توزیع‌های خاص اوبونتو عمل می‌کند. نمونه آپلود شده در ویروس‌توتال از یک گواهی امنیتی خودامضا استفاده می‌کند که آن را با سیستم‌هایی که از قابلیت Secure Boot در UEFI استفاده می‌کنند، ناسازگار می‌سازد. با این حال، مهاجمان مصمم می‌توانند این بدافزار را بهبود داده و محدودیت‌های آن را برطرف کنند.

این بوت‌کیت شامل روال‌هایی برای تضعیف چندین مؤلفه کلیدی از جمله فریم‌ور UEFI، کرنل لینوکس و بوت‌لودر GRUB است. در صورت اجرا، می‌تواند حتی با فعال بودن Secure Boot، کرنل لینوکس را بوت کند و کدهای مخرب خود را در فرآیندهای سیستم در هنگام راه‌اندازی تزریق کند.

با وجود ساختار پیچیده، بوت‌کیتی هنوز کامل نیست. ESET اشاره کرد که در کد آن، ویژگی‌های ناقص و آثار باقی‌مانده زیادی وجود دارد که نشان‌دهنده کار در حال پیشرفت نویسندگان این بدافزار است. در کنار بوت‌کیتی، محققان یک ماژول کرنل مرتبط به نام BCDropper را شناسایی کردند که برای بارگذاری برنامه‌ها و ماژول‌های کرنل لینوکس طراحی شده است.

پیامدها برای امنیت لینوکس

اگرچه بوت‌کیتی هنوز تهدیدی کاملاً توسعه‌یافته نیست، وجود آن بر تغییر روند در چشم‌انداز تهدیدهای مرتبط با UEFI تأکید دارد. به طور سنتی، بوت‌کیت‌ها و روت‌کیت‌های UEFI بیشتر سیستم‌های ویندوز را هدف قرار می‌دادند. اکنون، با گسترش استفاده از لینوکس، این سیستم‌عامل نیز به هدف جذابی برای مهاجمان تبدیل شده است.

ESET به جامعه امنیتی هشدار می‌دهد که هوشیار باشند، زیرا این بدافزار نمونه اولیه نشان می‌دهد که در آینده ممکن است تهدیدهای پیشرفته‌تری علیه لینوکس ظاهر شوند.

منبع TechSpot
موضوع