นักวิจัยจาก ESET ได้ค้นพบมัลแวร์ที่มีชื่อว่า Bootkitty ซึ่งเป็น UEFI bootkit ตัวแรกที่มุ่งเป้าโจมตีระบบปฏิบัติการ Linux โดยเฉพาะ โดยถูกออกแบบมาให้สามารถหลบเลี่ยงการตรวจสอบ signature ของ kernel ได้ และโหลดส่วนประกอบที่เป็นอันตรายระหว่างการบูตระบบ
ในขณะนี้ Bootkitty ยังเป็นเพียง Proof-of-concept ที่ทำงานได้เฉพาะบน Ubuntu บางเวอร์ชันและการตั้งค่าเท่านั้น มัลแวร์นี้ใช้ self-signed certificate ทำให้ไม่สามารถทำงานบนระบบที่เปิดใช้งาน Secure Boot และยังมีข้อจำกัดด้านความเข้ากันได้กับเวอร์ชันของ GRUB และ kernel นอกจากนี้ยังพบฟังก์ชันที่ไม่ได้ใช้งานจำนวนมากและมีปัญหาในการจัดการความเข้ากันได้ของเวอร์ชัน kernel ซึ่งมักทำให้ระบบ crash
การค้นพบมัลแวร์ชนิดนี้แสดงให้เห็นถึงแนวโน้มที่ผู้โจมตีกำลังพัฒนามัลแวร์สำหรับ Linux มากขึ้น ซึ่งเป็นผลมาจากการที่องค์กรต่างๆ หันมาใช้ Linux เพิ่มขึ้น ผู้ที่สนใจสามารถดูรายละเอียด IoCs ที่เกี่ยวข้องกับ Bootkitty ได้บน GitHub repository ของ ESET
———————————————————————————————————————————————————————————
ที่มา : Techtalkthai / วันที่เผยแพร่ 28 พ.ย.67
Link : https://www.techtalkthai.com/researchers-discover-first-uefi-bootkit-malware-for-linux/
