Un لقد هز الاكتشاف الأخير مشهد الأمن السيبراني: حدد الباحثون أول مجموعة تمهيد UEFI مصممة خصيصًا لأنظمة Linux، تسمى بوتكيتي من قبل المبدعين لها. يمثل هذا الاكتشاف تطورًا كبيرًا في تهديدات UEFI، والتي ركزت تاريخيًا بشكل حصري تقريبًا على أنظمة Windows. بالرغم من يبدو أن البرامج الضارة في مرحلة إثبات المفهومفإن وجودها يفتح الباب أمام تهديدات محتملة أكثر تعقيدًا في المستقبل.
في السنوات الأخيرة، شهدت تهديدات UEFI تقدمًا ملحوظًا. بدءًا من البراهين الأولى للمفهوم في عام 2012 وحتى الحالات الأحدث مثل ESpecter وBlackLotus، شهد مجتمع الأمان نموًا في تعقيد هذه الهجمات. ومع ذلك، يمثل Bootkitty تغييرًا مهمًا، حيث يحول الاهتمام إلى أنظمة Linux، وتحديدًا بعض إصدارات Ubuntu.
الميزات التقنية لـ Bootkitty
بوتكيتي تتميز بقدراتها التقنية المتقدمة. تستخدم هذه البرامج الضارة طرقًا لتجاوز آليات أمان UEFI Secure Boot عن طريق تصحيح وظائف التحقق المهمة في الذاكرة. بهذه الطريقة، يتمكن من تحميل Linux kernel بغض النظر عما إذا كان Secure Boot ممكّنًا أم لا.
الهدف الرئيسي من Bootkitty يشمل تعطيل التحقق من توقيع النواة والتحميل المسبق ثنائيات ELF الخبيثة غير المعروفة من خلال هذه العملية الحرف الأول من لينكس. ومع ذلك، نظرًا لاستخدام أنماط التعليمات البرمجية غير المحسنة والإزاحات الثابتة، فإن فعاليتها تقتصر على عدد صغير من التكوينات وإصدارات kernel و GRUB.
خصوصية البرامج الضارة هي طبيعتها التجريبية: يحتوي على وظائف معطلة يبدو أنها مخصصة للاختبار الداخلي أو العروض التوضيحية. هذا ومعه عدم القدرة على العمل على الأنظمة التي تم تمكين Secure Boot بها خارج الصندوق، تشير إلى أنها لا تزال في المراحل الأولى من التطوير.
نهج معياري وروابط محتملة مع المكونات الأخرى
وخلال تحليلهم، باحثون من ESET كما حددوا أيضًا وحدة نواة غير موقعة تسمى BCDropper، والتي من المحتمل أن يكون قد تم تطويرها بواسطة نفس مؤلفي Bootkitty. تتضمن هذه الوحدة ميزات متقدمة مثل القدرة على إخفاء الملفات والعمليات والمنافذ المفتوحة، الخصائص النموذجية للجذور الخفية.
بي سي دروبر كما أنه ينشر أيضًا ملف ثنائي ELF يسمى BCObserver، والذي يقوم بتحميل وحدة kernel أخرى غير محددة. على الرغم من عدم تأكيد وجود علاقة مباشرة بين هذه المكونات وBootkitty، إلا أن أسمائها وسلوكياتها تشير إلى وجود صلة.
تأثير Bootkitty والتدابير الوقائية
على الرغم من Bootkitty لا تشكل حتى الآن تهديدا حقيقيا بالنسبة لمعظم أنظمة Linux، يؤكد وجودها على الحاجة إلى الاستعداد للتهديدات المستقبلية المحتملة. تتضمن مؤشرات المشاركة المرتبطة بـ Bootkitty ما يلي:
- السلاسل المعدلة في النواة: مرئية مع الأمر
uname -v
. - وجود المتغير
LD_PRELOAD
في الأرشيف/proc/1/environ
. - القدرة على تحميل وحدات النواة غير الموقعة: حتى على الأنظمة التي تم تمكين Secure Boot فيها.
- تم وضع علامة "ملوث" على النواة، مما يشير إلى احتمال التلاعب.
للتخفيف من المخاطر التي يشكلها هذا النوع من البرامج الضارة، يوصي الخبراء بالحفاظ على تمكين UEFI Secure Boot، بالإضافة إلى التأكد من أن البرامج الثابتة ونظام التشغيل وقائمة إبطال UEFI محدث.
تحول نموذجي في تهديدات UEFI
لا يتحدى Bootkitty التصور القائل بأن مجموعات تمهيد UEFI حصرية لنظام التشغيل Windows فحسب, ولكن يسلط الضوء أيضا على زيادة اهتمام مجرمي الإنترنت بالأنظمة المستندة إلى Linux. وعلى الرغم من أنه لا يزال في مرحلة التطوير، إلا أن مظهره يعد بمثابة دعوة للاستيقاظ لتحسين الأمان في هذا النوع من البيئات.
وتعزز هذه النتيجة الحاجة إلى مراقبة استباقية وتنفيذها تدابير أمنية متقدمة للتخفيف من التهديدات المحتملة التي قد تستغل الثغرات الأمنية على مستوى البرامج الثابتة وعملية التمهيد.