Источник изображения: Linux

Исследователи из компании ESET предупреждают о появлении первого в своем роде UEFI-буткита (Bootkit) для операционной системы Linux. По их оценкам, обнаруженное вредоносное ПО находится либо в экспериментальной версии, либо на ранней стадии разработки.

UEFI-буткиты представляют собой сложное вредоносное ПО, нацеленное на интерфейс, отвечающий за загрузку операционной системы и инициализацию оборудования (Unified Extensible Firmware Interface). Особенность таких вирусов заключается в том, что они внедряются на столь низком уровне, что даже переустановка операционной системы или замена жесткого диска не может их устранить. Более того, антивирусные программы испытывают значительные трудности с их обнаружением.

Новый зловред, получивший название «Bootkitty», по мнению исследователей, находится на ранней стадии разработки. Он использует самоподписанный сертификат, что делает невозможным его запуск на системах с включенным Secure Boot, ограничивая его действие только некоторыми дистрибутивами Ubuntu.

Правда, текущая версия вредоносного ПО имеет ряд технических ограничений, таких как использование жестко закодированных байтовых шаблонов и неоптимальный выбор паттернов для охвата различных версий ядра или GRUB. Это значительно затрудняют его широкое распространение. Кроме того, так как Bootkitty содержит множество неиспользуемых функций и не имеет проверок версии ядра, это часто приводит к сбоям системы.

Несмотря на то, что обнаруженный вирус пока не представляет серьезной угрозы, сам факт появления UEFI-загрузочных вирусов для Linux является важным событием с точки зрения развития вредоносного ПО. Учитывая широкое распространение устройств на базе Linux, потенциальная возможность атак в будущем является существенной.