ມີ​ການ​ຄົ້ນ​ພົບ​ມັນ​ແວ​ (Malware)​ UEFI bootkit ໂຕທໍາອິດ​ທີ່​ມີເປົ້າ​ໝາຍໄປ​ທີ່​ລະບົບ​​ປະຕິບັດການ​ Linux ໂດຍ​ສະເພາະ​, ຖື​ເປັນ​ການ​ປ່ຽນ​ແປງ​ຈາກ​ກ່ອນ​ໜ້າ​ນີ້​ທີ່​ມັກ​ຈະ​ມີເປົ້າ​ໝາຍໄປ​ທີ່​​ລະບົບ​ປະຕິບັດການ​ Windows ຊຶ່ງ​ໄພ​ຄຸກ​ຄາມ​ແບບ​ bootkit ມັກ​ຈະ​ຫຼົບລີ້ໄດ້​ດີ​ ແລະ ​ຖືກ​ກຳຈັດ​ໄດ້​ຍາກ​.

ມັນ​ແວ​ Linux ທີ່​ຊື່​ວ່າ​ 'Bootkitty' ເປັນ​ມັນ​ແວ​​ທີ່​ເຮັດວຽກ​ໄດ້​ສະເພາະ​ໃນ​ Ubuntu ບາງ​ເວີ​​ຊັ່ນ​ ແລະ ​ບາງ​ການຕັ້ງ​ຄ່າ​ເທົ່າ​ນັ້ນ​ ໂດຍ​ຍັງ​ບໍ່​ແມ່ນ​ການ​ໂຈມ​ຕີ​ເຕັມ​ຮູບ​ແບບ​ທີ່​ໃຊ້​ສຳລັບ​ການ​ໂຈມ​ຕີແທ້.​

Bootkit ເປັນ​ມັນ​ແວ​​ທີ່​ອອກ​ແບບ​ມາ​ເພື່ອ​ແຜ່ກ​ະ​ຈາຍ​ຕົວ​ໃນ​ຂະ​ບວນ​ການ​ບູດ​ (Boot) ຂອງ​ຄອມພິວເຕີ​ ໂດຍ​ທີ່ໂຕມັນ​ເອງ​ຈະ​ເລີ່ມ​ເຮັດວຽກ​ກ່ອນ​ທີ່​ລະບົບ​ປະຕິບັດການ​ຈະ​ເຮັດວຽກ​ ເຮັດໃຫ້​ມັນ​ຈະ​ສາມາດ​ຄວບ​ຄຸມ​ລະບົບ​ໄດ້​ໃນ​ລະ​ດັບ​ low level.

ຂໍ້​ດີ​ຂອງ​ການ​ໃຊ້​ວິທີ​ນີ້​ຄື​ bootkit ສາມາດ​ຫຼົບ​ຫຼີກ​ການ​ກວດ​ຈັບ​ຂອງ​ເຄື່ອງ​ມື​ດ້ານ​ Security ທີ່​ເຮັດວຽກ​ໃນ​ລະ​ດັບ​ system level ໄດ້​ ແລະ ​ສາມາດ​ປັບ​ປ່ຽນ​ components ຂອງ​ລະບົບ​ ຫຼື ​ມີ​ການ​ເອີ້ນ​ໃຊ້​ໂຄ້ດ (Code) ​ທີ່​ເປັນ​ອັນຕະລາຍ​ໄດ້​ໂດຍ​ບໍ່​ສ່ຽງ​ທີ່​ຈະ​ຖືກ​ກວດ​ຈັບ​.

ນັກ​ວິ​ໄຈ​ຈາກ​ ESET ທີ່​ຄົ້ນ​ພົບ​ Bootkitty ເຕືອນ​ວ່າ​ ການ​ຄົ້ນ​ພົບ​ເທື່ອ​ນີ້​ເປັນ​ການ​ພັດທະນາ​ເທື່ອ​ສຳຄັນ​ຂອງ​ມັນ​ແວ​ UEFI bootkit ເຖິງວ່າ​ຜົນ​ກະທົບ​ຈິງ​ໃນ​ຂະນະ​ນີ້​ຈະຍັງ​ບໍ່​ຮ້າຍແຮງ​ຫຼາຍ​.

Linux bootkit ກຳ​ລັງ​ຖືກ​ພັດທະນາ​ຂຶ້ນ​

ESET ຄົ້ນ​ພົບ​ Bootkitty ຫຼັງ​ຈາກ​ກວດ​ສອບ​ຟາຍ​ທີ່​ໜ້າສົງໄ​ສ​ (bootkit.efi) ທີ່​ຖືກ​ອັບ​ໂຫຼດ​ໄປທີ່ VirusTotal ໃນ​ເດືອນ ພະຈິກ 2024.

ຈາກ​ການ​ວິ​ເຄາະ​ ESET ຢືນຢັນ​ວ່າ​ເຫດການ​ນີ້​ເປັນ​ກໍລະນີທໍາອິດ​ຂອງ​ Linux UEFI bootkit ທີ່​ສາມາດ​ຫຼີກ​ລ້ຽງ​ການ​ກວດ​ສອບ​ຈາກ​ kernel signature ແລະ​ ເລີ່ມ​ເຮັດວຽກ​ລະຫວ່າງຂະ​ບວນ​ການ​ບູດ​ຂອງ​ລະບົບ​.

Bootkitty ຈະ​ໃຊ້​ self-signed certificate ດັ່ງ​ນັ້ນ​ຈະ​ບໍ່​ເຮັດວຽກ​ເທິງ​ລະບົບ​ທີ່​ມີ​ການ​ເປີດ​ໃຊ້​ງານ​ Secure Boot ແລະ​ ຈະ​ເນັ້ນເປົ້າໝາຍ​ໄປ​ທີ່​ລະບົບ​ປະຕິບັດການ​ Ubuntu ບາງຮຸ່ນເທົ່າ​ນັ້ນ​.

ນອກ​ຈາກ​ນີ້​, ການ​ໃຊ້​ hardcoded offset ແລະ​ ການ​ຈັບ​ຄູ່​ byte-pattern ເຮັດໃຫ້​ມັນ​ສາມາດ​ໃຊ້​ງານ​ໄດ້​ເທິງ​ GRUB ແລະ​ kernel ບາງ​ເວີ​​ຊັ່ນ​ເທົ່າ​ນັ້ນ​ ຈຶ່ງ​ຍັງ​ບໍ່​ສາມາດ​ໃຊ້​ໃນ​ການ​ໂຈມ​ຕີ​ໄດ້​ໃນ​ວົງ​ກວ້າງ​.

ESET ຍັງ​ລະ​ບຸ​ວ່າ​ ມັນ​ແວ​ນີ້​ມີ​ຄຸນສົມບັດຫຼາຍຢ່າງ​ທີ່ຍັງ​ບໍ່​ໄດ້​ໃຊ້​ງານ​ ແລະ​ ມີ​ການ​ຈັດການ​ກັບ​ kernel-version ໄດ້​ຍັງບໍ່​ດີພໍ ​ຊຶ່ງ​ອາດ​ຈະເຮັດໃຫ້​ລະບົບ​ຢຸດ​ເຮັດວຽກ​.

ລັກສະນະ​ຂໍ້​ບົກຜ່ອງ​ຂອງ​ມັນ​ແວ​​ ລວມເຖິງ​​ລະບົບ​ telemetry ຂອງ​ ESET ທີ່ຍັງ​ບໍ່​ພົບ​ສັນຍາ​ນຂອງ​ Bootkitty ເທິງ​ລະບົບ​ທີ່​ໃຊ້​ງານ​ຈິງ​ ເຮັດໃຫ້​ນັກ​ວິ​ໄຈສະຫຼຸບ​ວ່າ​ມັນ​ຍັງ​ຢູ່ໃນ​ຂັ້ນ​ຕອນ​ການ​ພັດທະນາ​.

ຄວາມ​ສາມາດ​ຂອງ​ Bootkitty

ລະຫວ່າງ​ຂະ​ບວນ​ການ​ບູດ​ Bootkitty ຈະ​ເຊື່ອມ​ຕໍ່​ກັບ​ security authentication ໂປຣ​ໂຕຄອນ (Protocol) ຂອງ​ UEFI (EFI_SECURITY2_ARCH_PROTOCOL ແລະ​ EFI_SECURITY_ARCH_PROTOCOL) ເພື່ອ​ bypass ການ​ກວດ​ສອບ​ຄວາມ​ສົມບູນ​ຂອງ​ Secure Boot ແລະ ​ມັນ​ແວ​​ bootkit ຈະ​ເລີ່ມ​ເຮັດວຽກ​ໂດຍ​ບໍ່​ສົນ​ໃຈ​ security policies ວ່າ​ມີ​ ຫຼື ​ບໍ່​.

ຂັ້ນ​ຕອນ​ຕໍ່ໄປ​ມັນ​ຈະ​ເຊື່ອມ​ຕໍ່​ກັບ​ຟັງ​​ຊັ່ນ (Function) ​ຕ່າງ​ໆ​ ຂອງ​ GRUB ເຊັ່ນ​: 'start_image' ແລະ​  'grub_verifiers_open' ເພື່ອ​ຄວບ​ຄຸມ​ການ​ກວດ​ສອບ​ຄວາມ​ສົມບູນ​ຂອງ​ bootloader ສຳລັບ​ໄບ​ນາ​ຣີ​ (Binary) ລວມ​ເຖິງ​ kernel ຂອງ​ Linux ໂດຍ​ຈະ​ມີ​ການ​ປິດ​ signature verification.

ຈາກ​ນັ້ນ​ Bootkitty ຈະ​ສ​ະກັດ​ກັ້ນ​ຂະ​ບວນ​ການ​ decompression ຂອງ​ Linux kernel ແລະ ​ເຊື່ອມ​ຕໍ່​ຟັງ​ຊັ່ນ​ 'module_sig_check' ເພື່ອ​ບັງຄັບ​ໃຫ້​ຟັງ​​ຊັ່ນ​ນີ້​ສົ່ງ​ຄືນ​ຜົນ​ລັບ​​ທີ່​ເປັນ​ success ສະເໝີ​ໃນ​ລະຫວ່າງ​ການ​ກວດ​ສອບ​ kernel module ຊຶ່ງ​ເຮັດໃຫ້​ມັນ​ແວ​​ສາມາດ​ໂຫຼດ​ໂມ​ດູນ​ທີ່​ເປັນ​ອັນຕະລາຍ​ໄດ້​.

ນອກ​ຈາກ​ນີ້​, ມັນຍັງ​ແທນ​ທີ່​ຕົວ​ແປໃນ​ first environment ດ້ວຍ​ຄ່າ​ 'LD_PRELOAD=/opt/injector.so' ເພື່ອ​ໃຫ້​ໄລ​ບ​ຣາ​ຣີ​ (Library) ທີ່​ເປັນ​ອັນຕະລາຍ​ ຖືກ​ inject ເຂົ້າໄປ​ໃນ​ processes ຕ່າງ​ໆ​ ເມື່ອ​ລະບົບ​ເລີ່ມ​ເຮັດວຽກ​.

ຂະ​ບວນ​ການ​ທັງ​ໝົດ​ນີ້​ຖິ້ມ​ຫຼັກ​ຖານ​ຫຼາຍ​ຢ່າງ​ໄວ້​ ທັງ​ທີ່​ຕັ້ງ​ໃຈ​ ແລະ ​ບໍ່​ໄດ້​ຕັ້ງ​ໃຈ​ ໂດຍ​ ESET ລະ​ບຸ​ວ່າ​ເປັນ​ອີກ​ໜຶ່ງ​ສັນຍາ​ນ​ທີ່​ສະແດງ​ເຖິງ​ມັນ​ແວ​​ Bootkitty ຍັງ​ບໍ່​ສົມບູນ​.

ນັກ​ວິ​ໄຈ​ຍັງ​ສັງເກດ​ວ່າ​ຜູ້​ໃຊ້​ງານ​ຄົນ​ດຽວ​ກັນ​ທີ່​ອັບ​ໂຫຼດ​ Bootkitty ໄປທີ່ VirusTotal ຍັງ​ອັບ​ໂຫຼດ​ kernel module ຊື່​ 'BCDropper' ແຕ່​ຈາກ​ຫຼັກ​ຖານ​ທີ່ບພົບເຫັນຍັງ​ບໍ່​ສາມາດ​ເຊື່ອມ​ໂຍງ​ຄວາມ​ກ່ຽວ​ຂ້ອງ​ກັນ​ໄດ້​ຢ່າງ​ຊັດເຈນ​.

BCDropper ຈະ​ປ່ອຍ​ຟາຍ​ ELF ທີ່​ຊື່​ 'BCObserver' ຊຶ່ງ​ເປັນ​ kernel module ທີ່​ມີ​ຟັງ​ຊັ່ນ​ rootkit ທີ່​ເຊື່ອງຟາຍ​, processes ແລະ​ ຈະ​ມີ​ການ​ເປີດ​ພອດ (Port) ເທິງ​ລະບົບ​ທີ່​ຖືກ​ໂຈມ​ຕີ.​

ການ​ຄົ້ນ​ພົບ​ມັນ​ແວ​​ລັກສະນະ​ນີ້​ສະແດງ​ໃຫ້​ເຫັນ​ວ່າ​ຜູ້​ໂຈມ​ຕີ​ກຳ​ລັງ​ພັດທະນາ​ມັນ​ແວ​​ສຳລັບ​ Linux ຊຶ່ງ​ກ່ອນ​ໜ້າ​ນີ້​ມີ​ສະເພາະ​ໃນ​ Windows ເນື່ອງ​ຈາກ​ອົງ​ກອນ​ຕ່າງ​ໆ​ ຫັນ​ມາ​ໃຊ້​ລະບົບ​ປະຕິບັດການ​ Linux ຫຼາຍ​ຂຶ້ນ​ເລື້ອຍ​ໆ​.

Indicators of Compromise - IoCs ທີ່​ກ່ຽວ​ຂ້ອງ​ກັບ​ Bootkitty ໄດ້​ຖືກ​ແບ່ງປັນ​ໄວ້​ໃນ​ GitHub repository ນີ້​  github.com

 

ເອກະສານອ້າງອີງ

1. https://www.bleepingcomputer.com/news/security/researchers-discover-bootkitty-first-uefi-bootkit-malware-for-linux/
2. https://www.i-secure.co.th/2024/12/%e0%b8%99%e0%b8%b1%e0%b8%81%e0%b8%a7%e0%b8%b4%e0%b8%88%e0%b8%b1%e0%b8%a2%e0%b8%9e%e0%b8%9a%e0%b8%a1%e0%b8%b1%e0%b8%a5%e0%b9%81%e0%b8%a7%e0%b8%a3%e0%b9%8c-uefi-bootkit-%e0%b8%95%e0%b8%b1%e0%b8%a7/