Conti voleva colpire il firmware dei chipset Intel
Topic
Approfondimenti
Trending
tutti

Conti voleva colpire il firmware dei chipset Intel

Il gruppo Conti ha sviluppato un PoC che può essere sfruttato per infettare il firmware dei chipset Intel, senza essere rilevato dagli antivirus.
Conti voleva colpire il firmware dei chipset Intel
Sicurezza Antivirus Antivirus
Il gruppo Conti ha sviluppato un PoC che può essere sfruttato per infettare il firmware dei chipset Intel, senza essere rilevato dagli antivirus.
Pixabay

A fine febbraio erano state pubblicate online alcune chat interne del gruppo Conti (successivamente anche il codice sorgente del ransomware). Leggendo le conversazioni, i ricercatori di Eclypsium hanno scoperto che i cybercriminali stavano studiando un modo per eseguire attacchi contro i firmware dei chipset Intel, praticamente impossibili da rilevare con una soluzione di sicurezza. La gang ha interrotto le attività, ma i leader sono ancora in libertà e potrebbero continuare il lavoro.

Firmware del chipset: nuovo obiettivo di Conti

Solitamente gli attacchi di questo tipo riguardano il firmware UEFI/BIOS. Il gruppo Conti ha invece sviluppato un “proof-of-concept” per colpire il firmware del chipset, in particolare il chip Intel Management Engine (ME), un microcontrollore che offre diverse funzionalità. I cybercriminali hanno trovato un modo per accedere al firmware UEFI/BIOS, passando per il firmware ME.

Il microcontrollore Intel ME può accedere alla memoria flash SPI, che contiene il firmware UEFI/BIOS, quindi sarebbe possibile aggirare tutte le protezioni e installare codice infetto che, se eseguito in SSM (System Management Mode), può modificare il kernel senza essere rilevato dal sistema operativo e dalle soluzioni di sicurezza.

Per effettuare un simile attacco è necessario prima ottenere l’accesso al sistema. Ciò può essere fatto in diversi modi, ad esempio sfruttando una vulnerabilità del sistema operativo o tramite phishing. Il controllo del firmware ME viene ottenuto con un attacco che sfrutta una sua vulnerabilità zero-day (o della Intel Active Management Technology). A questo punto, i cybercriminali accedono alla memoria flash SPI e sovrascrivono il firmware UEFI. I vari metodi sono stati illustrati da Eclypsium.

Il proof-of-concept di Conti potrebbe essere utilizzato anche per “distruggere” il bersaglio (il computer non si avvia più). I messaggi scambiati tra i membri della gang confermano che quasi nessuna soluzione di sicurezza è in grado di rilevare l’attacco. Al momento non si segnalano attacchi, ma è solo questione di tempo.

Fonte: Eclypsium

Pubblicato il 3 giu 2022

Link copiato negli appunti

Ti potrebbe interessare

Conti chiude, ma gli attacchi ransomware continuano

Conti chiude, ma gli attacchi ransomware continuano
Conti si schiera con Putin e le chat finiscono online

Conti si schiera con Putin e le chat finiscono online
Conti: online il codice sorgente del ransomware

Conti: online il codice sorgente del ransomware
Redline Stealer nascosto in falso game cheat

Redline Stealer nascosto in falso game cheat
Conti chiude, ma gli attacchi ransomware continuano

Conti chiude, ma gli attacchi ransomware continuano
Conti si schiera con Putin e le chat finiscono online

Conti si schiera con Putin e le chat finiscono online
Conti: online il codice sorgente del ransomware

Conti: online il codice sorgente del ransomware
Redline Stealer nascosto in falso game cheat

Redline Stealer nascosto in falso game cheat
Luca Colantuoni
Pubblicato il
3 giu 2022
Link copiato negli appunti