News & Trends

Thông tin bị rò rỉ của Conti tiết lộ sự quan tâm của băng nhóm Ransomware này đối với các cuộc tấn công dựa trên Firmware

CyStack Avatar

CyStack Editor

Content Executive @ Marketing Team|April 5, 2023
conti ransomware

Một phân tích về các cuộc trò chuyện bị rò rỉ từ nhóm ransomware Conti khét tiếng vào đầu năm nay đã tiết lộ rằng nhóm này đã luyện tập một tập hợp các kỹ thuật tấn công có thể cung cấp một đường dẫn để truy cập mã đặc quyền trên các thiết bị bị xâm nhập.

Công ty bảo mật phần cứng và phần mềm Eclypsium cho biết trong một báo cáo được chia sẻ với The Hacker News rằng: “Kiểm soát firmware mang lại cho những kẻ tấn công quyền lực gần như vô song để trực tiếp gây ra thiệt hại và thực hiện các mục tiêu chiến lược lâu dài khác”.

“Mức độ truy cập như vậy sẽ cho phép tin tặc gây ra thiệt hại không thể khắc phục được đối với hệ thống hoặc thiết lập sự bền bỉ liên tục hầu như không thể nhìn thấy đối với hệ điều hành.”

Cụ thể, điều này bao gồm các cuộc tấn công nhằm vào các bộ vi điều khiển như Intel Management Engine (ME), một thành phần đặc quyền nằm trong chipset bộ xử lý của công ty và có thể hoàn toàn vượt qua hệ điều hành.

Cần lưu ý rằng lý do cho sự tập trung ngày càng phát triển này không phải vì có những lỗ hổng bảo mật mới trong chipset Intel, mà là do khả năng “các tổ chức không cập nhật firmware chipset của họ với mức độ đều đặn mà họ làm với phần mềm của họ hoặc thậm chí với Phần mềm hệ thống UEFI / BIOS”.

hacking

Các cuộc trò chuyện giữa các thành viên Conti đã bị rò rỉ sau khi nhóm này cam kết hỗ trợ Nga trong cuộc xâm lược Ukraine sau này, đã làm sáng tỏ nỗ lực của tổ chức nhằm khai thác các lỗ hổng liên quan đến phần mềm ME và bảo vệ ghi BIOS.

Điều này dẫn đến việc tìm kiếm các lệnh không được lưu trữ và lỗ hổng trong giao diện ME, đạt được việc thực thi mã trong ME để truy cập và viết lại bộ nhớ flash SPI, đồng thời loại bỏ các bộ phận cấy ghép ở chế độ Quản lý Hệ thống (SMM), có thể được tận dụng để thậm chí sửa đổi kernel

intel

Cuối cùng, nghiên cứu đã được thể hiện dưới dạng mã khai thác mẫu (PoC) vào tháng 6/2021. Nó cho thấy có thể đạt được thực thi mã SMM bằng cách giành quyền kiểm soát ME sau khi có được quyền truy cập ban đầu vào máy chủ bằng các vectơ truyền thống như lừa đảo phishing, malware, hoặc một lỗ hổng trong chuỗi cung ứng.

Đó không phải là tất cả. Quyền kiểm soát đối với firmware cũng có thể bị lợi dụng để đạt được sự bền bỉ lâu dài, né tránh các giải pháp bảo mật và gây ra thiệt hại hệ không thể sửa chữa cho hệ thống cho phép tin tặc thực hiện các cuộc tấn công hủy diệt như đã chứng kiến ​​trong chiến tranh Nga-Ukraine.

Các nhà nghiên cứu cho biết: “Vụ rò rỉ Conti cho thấy một sự thay đổi chiến lược khiến các cuộc tấn công firmware tránh xa khỏi sự theo dõi của các công cụ bảo mật truyền thống”.

“Việc chuyển sang firmware ME mang lại cho những kẻ tấn công một nhóm lớn hơn nhiều các nạn nhân tiềm năng để tấn công và một con đường mới để tiếp cận mã ở cấp đặc quyền nhất và các chế độ thực thi có sẵn trên các hệ thống hiện đại”.

Theo Thehackernews

Bài viết liên quan

Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân có gì mới?
Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân có gì mới?
13/11/2023|News & Trends

Nghị định 13/2023/NĐ-CP về Bảo vệ dữ liệu cá nhân, hay Nghị định 13, do Chính phủ Việt Nam ban hành đã chính thức có hiệu lực kể từ ngày 01/07/2023 với một số điểm mới nổi bật đáng chú ý dành cho doanh nghiệp. Tổng quan về Nghị định 13 Sau hơn 02 năm kể …

Ransomware là gì? Cách Phòng chống Mã Độc Tống Tiền
Ransomware là gì? Cách Phòng chống Mã Độc Tống Tiền
20/09/2023|News & Trends

Ransomware là một loại phần mềm độc hại có mục đích tống tiền người dùng bằng cách xâm nhập vào máy tính và thao túng dữ liệu của nạn nhân. Trong những năm gần đây, không phải virus, mà chính ransomware mới là mối đe dọa đối với các tổ chức, doanh nghiệp. Các quản …

Bảo mật thương mại điện tử: Giải pháp cho doanh nghiệp Việt
Bảo mật thương mại điện tử: Giải pháp cho doanh nghiệp Việt
27/09/2023|News & Trends

Trong những năm gần đây, Thương Mại Điện Tử tại Việt Nam chứng kiến sự phát triển vượt bậc với các tên tuổi lớn như Tiki, Shopee, Lazada, Sendo, Vntrip, hay Luxstay. Bên cạnh tiềm năng phát triển, vẫn tồn tại những thách thức và rủi ro kìm hãm sự bứt phá của các doanh …