Thông tin bị rò rỉ của Conti tiết lộ sự quan tâm của băng nhóm Ransomware này đối với các cuộc tấn công dựa trên Firmware
CyStack Editor
Một phân tích về các cuộc trò chuyện bị rò rỉ từ nhóm ransomware Conti khét tiếng vào đầu năm nay đã tiết lộ rằng nhóm này đã luyện tập một tập hợp các kỹ thuật tấn công có thể cung cấp một đường dẫn để truy cập mã đặc quyền trên các thiết bị bị xâm nhập.
Công ty bảo mật phần cứng và phần mềm Eclypsium cho biết trong một báo cáo được chia sẻ với The Hacker News rằng: “Kiểm soát firmware mang lại cho những kẻ tấn công quyền lực gần như vô song để trực tiếp gây ra thiệt hại và thực hiện các mục tiêu chiến lược lâu dài khác”.
“Mức độ truy cập như vậy sẽ cho phép tin tặc gây ra thiệt hại không thể khắc phục được đối với hệ thống hoặc thiết lập sự bền bỉ liên tục hầu như không thể nhìn thấy đối với hệ điều hành.”
Cụ thể, điều này bao gồm các cuộc tấn công nhằm vào các bộ vi điều khiển như Intel Management Engine (ME), một thành phần đặc quyền nằm trong chipset bộ xử lý của công ty và có thể hoàn toàn vượt qua hệ điều hành.
Cần lưu ý rằng lý do cho sự tập trung ngày càng phát triển này không phải vì có những lỗ hổng bảo mật mới trong chipset Intel, mà là do khả năng “các tổ chức không cập nhật firmware chipset của họ với mức độ đều đặn mà họ làm với phần mềm của họ hoặc thậm chí với Phần mềm hệ thống UEFI / BIOS”.
Các cuộc trò chuyện giữa các thành viên Conti đã bị rò rỉ sau khi nhóm này cam kết hỗ trợ Nga trong cuộc xâm lược Ukraine sau này, đã làm sáng tỏ nỗ lực của tổ chức nhằm khai thác các lỗ hổng liên quan đến phần mềm ME và bảo vệ ghi BIOS.
Điều này dẫn đến việc tìm kiếm các lệnh không được lưu trữ và lỗ hổng trong giao diện ME, đạt được việc thực thi mã trong ME để truy cập và viết lại bộ nhớ flash SPI, đồng thời loại bỏ các bộ phận cấy ghép ở chế độ Quản lý Hệ thống (SMM), có thể được tận dụng để thậm chí sửa đổi kernel
Cuối cùng, nghiên cứu đã được thể hiện dưới dạng mã khai thác mẫu (PoC) vào tháng 6/2021. Nó cho thấy có thể đạt được thực thi mã SMM bằng cách giành quyền kiểm soát ME sau khi có được quyền truy cập ban đầu vào máy chủ bằng các vectơ truyền thống như lừa đảo phishing, malware, hoặc một lỗ hổng trong chuỗi cung ứng.
Đó không phải là tất cả. Quyền kiểm soát đối với firmware cũng có thể bị lợi dụng để đạt được sự bền bỉ lâu dài, né tránh các giải pháp bảo mật và gây ra thiệt hại hệ không thể sửa chữa cho hệ thống cho phép tin tặc thực hiện các cuộc tấn công hủy diệt như đã chứng kiến trong chiến tranh Nga-Ukraine.
Các nhà nghiên cứu cho biết: “Vụ rò rỉ Conti cho thấy một sự thay đổi chiến lược khiến các cuộc tấn công firmware tránh xa khỏi sự theo dõi của các công cụ bảo mật truyền thống”.
“Việc chuyển sang firmware ME mang lại cho những kẻ tấn công một nhóm lớn hơn nhiều các nạn nhân tiềm năng để tấn công và một con đường mới để tiếp cận mã ở cấp đặc quyền nhất và các chế độ thực thi có sẵn trên các hệ thống hiện đại”.
Theo Thehackernews
