Ερευνητές που αναλύουν τις συνομιλίες που διέρρευσαν για τη διαβόητη επιχείρηση ransomware Conti ανακάλυψαν ότι ομάδες εντός της ρωσικής ομάδας εγκλήματος στον κυβερνοχώρο ανέπτυξαν ενεργά firmware hacks.
Σύμφωνα με μηνύματα που ανταλλάχθηκαν μεταξύ μελών του συνδικάτου για το έγκλημα στον κυβερνοχώρο, οι προγραμματιστές του Conti είχαν δημιουργήσει κώδικα proof-of-concept (PoC) που αξιοποίησε το Management Engine (ME) της Intel για να αντικαταστήσει το flash και να κερδίσει την εκτέλεση SMM (System Management Mode).
Το ME είναι ένας ενσωματωμένος μικροελεγκτής σε chipset της Intel που τρέχουν ένα micro-OS για την παροχή υπηρεσιών out-of-band. Η επιχείρηση Conti μπέρδευε αυτό το στοιχείο για να βρει μη τεκμηριωμένες λειτουργίες και εντολές που θα μπορούσε να αξιοποιήσει.
Από εκεί, η ομάδα Conti μπορούσε να έχει πρόσβαση στη μνήμη flash που φιλοξενούσε το UEFI/BIOS firmware, να παρακάμψει τις προστασίες εγγραφής και να εκτελέσει αυθαίρετη εκτέλεση κώδικα στο παραβιασμένο σύστημα.
Ο τελικός στόχος θα ήταν το drop ενός SMM implant που θα λειτουργούσε με τα υψηλότερα δυνατά προνόμια συστήματος (ring-0), ενώ θα ήταν πρακτικά μη ανιχνεύσιμο από εργαλεία ασφαλείας σε επίπεδο λειτουργικού συστήματος.
Είναι σημαντικό να σημειωθεί ότι σε αντίθεση με το module TrickBot που στόχευε ελαττώματα UEFI firmware, βοηθώντας τις μολύνσεις Conti και αργότερα έγινε ανάληψη από την ομάδα ransomware, τα νέα ευρήματα δείχνουν ότι οι κακόβουλοι engineers προσπαθούσαν να ανακαλύψουν νέα, άγνωστα τρωτά σημεία στο ME.
Επιθέσεις firmware σε ransomware
Για να είναι δυνατή μια επίθεση firmware, οι φορείς ransomware θα πρέπει πρώτα να έχουν πρόσβαση στο σύστημα μέσω μιας κοινής οδού, όπως το phishing, το exploiting μιας ευπάθειας ή η εκτέλεση επίθεσης στην αλυσίδα εφοδιασμού.
Αφού θέσουν σε κίνδυνο το ME, οι επιτιθέμενοι θα πρέπει να ακολουθήσουν ένα σχέδιο επίθεσης με βάση τις περιοχές “out-of-write protection” στις οποίες επιτρέπεται να έχουν πρόσβαση, ανάλογα με την υλοποίηση του ME και τους διάφορους περιορισμούς/προστασίες.
Το Eclypsium λέει ότι αυτά θα μπορούσαν να είναι είτε πρόσβαση για αντικατάσταση του SPI Descriptor και μετακίνηση του UEFI/BIOS εκτός της προστατευόμενης περιοχής είτε άμεση πρόσβαση στην περιοχή του BIOS.
Υπάρχει επίσης το σενάριο του ME να μην έχει πρόσβαση σε κανένα από τα δύο, οπότε οι απειλητικοί παράγοντες θα μπορούσαν να αξιοποιήσουν το Management Engine της Intel για να αναγκάσουν το boot από εικονικά μέσα και να ξεκλειδώσουν τις προστασίες PCH που στηρίζουν το SPI controller.
Η ομάδα Conti θα μπορούσε να χρησιμοποιήσει μόνιμα αυτή τη ροή επίθεσης για να αποκτήσει απόλυτο persistence, να αποφύγει τις ανιχνεύσεις anti-virus και EDR και να παρακάμψει όλους τους ελέγχους ασφαλείας στο επίπεδο του λειτουργικού συστήματος.
Η ομάδα Conti έφυγε, αλλά ο κώδικας είναι ακόμα ζωντανός
Ενώ η επιχείρηση Conti φαίνεται να έχει κλείσει, πολλά από τα μέλη της έχουν μετακινηθεί σε άλλες επιχειρήσεις ransomware όπου συνεχίζουν να πραγματοποιούν επιθέσεις.
Αυτό σημαίνει ότι όλη η δουλειά που γίνεται για την ανάπτυξη των exploits όπως αυτό που εντόπισε η Eclypsium στις συνομιλίες που διέρρευσαν θα συνεχίσει να υπάρχει.
Όπως εξηγούν οι ερευνητές, η επιχείρηση Conti είχε ένα λειτουργικό PoC για αυτές τις επιθέσεις από το περασμένο καλοκαίρι, επομένως είναι πιθανό ότι είχαν ήδη την ευκαιρία να το χρησιμοποιήσουν σε πραγματικές επιθέσεις.
Το RaaS μπορεί να επιστρέψει σε μια rebranded μορφή, τα βασικά μέλη ενδέχεται να συμμετάσχουν σε άλλες λειτουργίες ransomware και συνολικά, τα exploits θα συνεχίσουν να χρησιμοποιούνται.
Για προστασία από τις απειλές, εφαρμόστε τις διαθέσιμες ενημερώσεις firmware για το hardware σας, παρακολουθήστε ME για αλλαγές διαμόρφωσης και επαληθεύστε τακτικά την ακεραιότητα του SPI flash.
Πηγή πληροφοριών: bleepingcomputer.com
