Curiosa la historia del primer malware (bootkit) UEFI para Linux, al que han llamado BootKitty. Hace unos días, investigadores de ESET publicaron un artículo en el que analizaban lo que sería el primer malware para Linux que tenía como vector a UEFI. Es decir, malware con capacidades de ocultación y arranque desde la UEFI del sistema.
El ejemplar interceptaba las rutinas de verificación del kernel y realizaba la carga de dos binarios de Linux aún no identificados a través del proceso «init» (el primer proceso que se levanta en Linux). Para infectar el sistema recurría al parcheo de GRUB, el cargador del kernel y realizaba, entre otras operaciones, un “hookeo” de la rutina de descompresión del kernel que aprovechaba para parchear cierto número de cadenas e inyectar una librería vía LD_PRELOAD. Un ejemplar muy interesante para los investigadores de ESET.
El giro que da la historia es que al final, el bootkit resultó ser una prueba de concepto de unos estudiantes de una universidad de Corea del Sur, los cuales contactaron con ESET para aportar luz al asunto.
No es la primera vez que una prueba de concepto «escapa» del laboratorio y termina en manos de investigadores. Las pruebas de concepto son y seguirán siendo necesarias y no es difícil que terminen siendo estudiadas. Curiosamente, en el mismo post de ESET ya advertían de que dicho malware parecía más una prueba que un ejecutable en producción.