Conti voleva colpire il firmware dei chipset Intel

Conti voleva colpire il firmware dei chipset Intel

Il gruppo Conti ha sviluppato un PoC che può essere sfruttato per infettare il firmware dei chipset Intel, senza essere rilevato dagli antivirus.
Il gruppo Conti ha sviluppato un PoC che può essere sfruttato per infettare il firmware dei chipset Intel, senza essere rilevato dagli antivirus.

A fine febbraio erano state pubblicate online alcune chat interne del gruppo Conti (successivamente anche il codice sorgente del ransomware). Leggendo le conversazioni, i ricercatori di Eclypsium hanno scoperto che i cybercriminali stavano studiando un modo per eseguire attacchi contro i firmware dei chipset Intel, praticamente impossibili da rilevare con una soluzione di sicurezza. La gang ha interrotto le attività, ma i leader sono ancora in libertà e potrebbero continuare il lavoro.

Firmware del chipset: nuovo obiettivo di Conti

Solitamente gli attacchi di questo tipo riguardano il firmware UEFI/BIOS. Il gruppo Conti ha invece sviluppato un “proof-of-concept” per colpire il firmware del chipset, in particolare il chip Intel Management Engine (ME), un microcontrollore che offre diverse funzionalità. I cybercriminali hanno trovato un modo per accedere al firmware UEFI/BIOS, passando per il firmware ME.

Il microcontrollore Intel ME può accedere alla memoria flash SPI, che contiene il firmware UEFI/BIOS, quindi sarebbe possibile aggirare tutte le protezioni e installare codice infetto che, se eseguito in SSM (System Management Mode), può modificare il kernel senza essere rilevato dal sistema operativo e dalle soluzioni di sicurezza.

Per effettuare un simile attacco è necessario prima ottenere l’accesso al sistema. Ciò può essere fatto in diversi modi, ad esempio sfruttando una vulnerabilità del sistema operativo o tramite phishing. Il controllo del firmware ME viene ottenuto con un attacco che sfrutta una sua vulnerabilità zero-day (o della Intel Active Management Technology). A questo punto, i cybercriminali accedono alla memoria flash SPI e sovrascrivono il firmware UEFI. I vari metodi sono stati illustrati da Eclypsium.

Il proof-of-concept di Conti potrebbe essere utilizzato anche per “distruggere” il bersaglio (il computer non si avvia più). I messaggi scambiati tra i membri della gang confermano che quasi nessuna soluzione di sicurezza è in grado di rilevare l’attacco. Al momento non si segnalano attacchi, ma è solo questione di tempo.

Questo articolo contiene link di affiliazione: acquisti o ordini effettuati tramite tali link permetteranno al nostro sito di ricevere una commissione.

Fonte: Eclypsium
Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il 3 giu 2022
Link copiato negli appunti