A fine febbraio erano state pubblicate online alcune chat interne del gruppo Conti (successivamente anche il codice sorgente del ransomware). Leggendo le conversazioni, i ricercatori di Eclypsium hanno scoperto che i cybercriminali stavano studiando un modo per eseguire attacchi contro i firmware dei chipset Intel, praticamente impossibili da rilevare con una soluzione di sicurezza. La gang ha interrotto le attività, ma i leader sono ancora in libertà e potrebbero continuare il lavoro.
Firmware del chipset: nuovo obiettivo di Conti
Solitamente gli attacchi di questo tipo riguardano il firmware UEFI/BIOS. Il gruppo Conti ha invece sviluppato un “proof-of-concept” per colpire il firmware del chipset, in particolare il chip Intel Management Engine (ME), un microcontrollore che offre diverse funzionalità. I cybercriminali hanno trovato un modo per accedere al firmware UEFI/BIOS, passando per il firmware ME.
Il microcontrollore Intel ME può accedere alla memoria flash SPI, che contiene il firmware UEFI/BIOS, quindi sarebbe possibile aggirare tutte le protezioni e installare codice infetto che, se eseguito in SSM (System Management Mode), può modificare il kernel senza essere rilevato dal sistema operativo e dalle soluzioni di sicurezza.
Per effettuare un simile attacco è necessario prima ottenere l’accesso al sistema. Ciò può essere fatto in diversi modi, ad esempio sfruttando una vulnerabilità del sistema operativo o tramite phishing. Il controllo del firmware ME viene ottenuto con un attacco che sfrutta una sua vulnerabilità zero-day (o della Intel Active Management Technology). A questo punto, i cybercriminali accedono alla memoria flash SPI e sovrascrivono il firmware UEFI. I vari metodi sono stati illustrati da Eclypsium.
Il proof-of-concept di Conti potrebbe essere utilizzato anche per “distruggere” il bersaglio (il computer non si avvia più). I messaggi scambiati tra i membri della gang confermano che quasi nessuna soluzione di sicurezza è in grado di rilevare l’attacco. Al momento non si segnalano attacchi, ma è solo questione di tempo.