L’analisi delle chat interne appartenenti alla gang criminale vicina alle posizioni di Putin, conferma la capacità del gruppo di poter condurre nuovi insidiosi attacchi firmware
Lo scorso febbraio un ricercatore ucraino ha fatto trapelare 60.694 messaggi di chat interne appartenenti alla gang ransomware Conti in risposta all’annuncio del gruppo del suo sostegno alla Russia a seguito dell’invasione dell’Ucraina.
Cos’è e cosa fa Conti
I ricercatori di tutto il mondo hanno passato a setaccio i preziosi documenti che hanno fornito informazioni preziose per comprendere la struttura del gang ransomware Conti, della sua rete di affiliati, e del misterioso rapporto con unità dell’intelligence russa.
Una delle più interessanti scoperte emerse dall’analisi delle chat è tuttavia recente ed è ad opera del gruppo di ricerca della società di sicurezza hardware e firmware Eclypsium.
I ricercatori hanno scoperto che la banda, nota per i suoi attacchi ransomware ad aziende di tutti il mondo e governi, stava lavorando a tecniche di attacco del firmware. Uso il passato, in quanto di recente il gruppo ha annunciato l’intenzione di cessare le sue operazioni, sebbene in realtà potrebbe trattarsi di una semplice riorganizzazione che darà vita a gruppi composti dai suoi membri che ne continueranno le imprese criminali.
Un attacco contro il firmware di un sistema potrebbe conferire agli attaccanti capacità tali da rendere le proprie offensive estremamente difficili da individuare così come un potere distruttivo fuori dal comune.
Cos’è un firmware e perché se fosse hackerato sarebbe un problema
Il firmware è un programma integrato direttamente in un componente elettronico programmato, la sua compromissione potrebbe consentire di caricare un malware ancor prima di avviare il sistema operativo e quindi applicazioni antivirus, rendendo di fatto la minaccia invisibile ai sistemi di difesa. Non solo, compromettendo un componente firmware è possibile alterare componenti del sistema che di fatto lo rendono inutilizzabile in maniera permanente.
Secondo Eclypsium, la banda di ransomware Conti stava lavorando ad attacchi contro componenti UEFI/BIOS e Intel Management Engine (ME) o Intel Converged Security Management Engine (CSME).
L’Intel Management Engine è costituito da un microcontrollore che funziona con il chip Platform Controller Hub, si tratta di un componente critico che gestisce i dati scambiati tra il processore e le periferiche. Una vulnerabilità nel componente Intel ME potrebbe consentire ad un attaccante di installare una backdoor sul sistema interessato e ottenere il pieno controllo su di esso.
“La compromissione del Management Engine di un sistema avrebbe un valore considerevole di per sé, ma le chat internet mostrano che il gruppo sta utilizzando i privilegi esclusivi del firmware ME come un modo per ottenere l’accesso indiretto a UEFI/BIOS, eliminare payload aggiuntivi e ottenere il controllo del sistema prima ancora dell’esecuzione del sistema operativo” recita il post pubblicato da Eclypsium. “Tale livello di accesso consentirebbe a un avversario di causare danni irreparabili a un sistema o di stabilire un accesso persistente al sistema praticamente invisibile al sistema operativo”.
La chat trapelata ha rivelato che il gruppo aveva già sviluppato almeno nove mesi fa un codice per dimostrare questo attacco, in gergo parliamo di proof-of-concept.
Gli esperti ritengono che le tecniche di attacco del firmware ideate dal gruppo verranno utilizzate nel prossimo futuro da attori con varie motivazioni.
Ad oggi gli attacchi al firmware sono estremamente rari a causa della loro complessità di realizzazione, per questo motivo sono stati condotti principalmente da attori estremamente avanzati che operano per conto di governi.
I ricercatori di Eclypsium hanno scoperto che la banda Conti stava concentrando la ricerca nelle seguenti aree.
- Testare l’interfaccia del Intel Management Engine (ME) per scoprire comandi non documentati e falle non note (zero-day) da sfruttare negli attacchi.
- Ottenere accessi alla memoria SPI (la memoria flash utilizzata dal firmware di sistema UEFI/BIOS) direttamente dal componente ME per bypassare altre protezioni e riuscire ad eseguire codice malevolo senza che possa essere identificato.
- Sfruttare la modalità operativa SMM (System Management Mode), nota per avere massimi privilegi, per eseguire codice invisibile al sistema operativo. Un malware SMM potrebbe modificare il kernel al volo in maniera silente e senza che il sistema operativo possa fare nulla per impedirlo.
Di seguito un estratto dalla chat di Conti che cita anche il codice del proof-of-concept (POC).
L’estratto delle chat riportato sopra conferma che il gruppo è stato in grado di sviluppare un codice che sfrutta le vulnerabilità nell’interfaccia ME per riscrivere la memoria flash SPI e ottenere l’esecuzione di codice in modalità SMM e quindi a privilegi massimi.
E quindi lecito attendersi una nuova fase evolutiva negli attacchi ransomware, questi codici malevoli potrebbero beneficiare di metodiche di attacco come quelle descritte per eludere gli attuali sistemi di difesa ed infliggere danni pesanti alle organizzazioni
Si tratta di un importante cambio strategico a cui potremmo assistere ben presto e che necessita di un nuovo approccio alla sicurezza. Il passaggio ad attacchi firmware ME offre agli aggressori un bacino notevolmente più ampio di potenziali vittime da attaccare ed ovviamente nuove tecniche difficili da individuare per la quasi totalità degli attuali sistemi di difesa adottati dalle nostre imprese.
