Firmware hack er de værste angreb da de sjældent opdages af operativsystemet eller antivirus software
Kriminelle russiske og kinesiske hackere stjæler IP rettigheder, kreditkort, hemmelige dokumenter og hemmeligheder fra virksomheder, nogle af dem forbliver uopdagede i årevis mens Ransomware grupper jo henvender sig og beder om penge.
Forskere, der analyserer de lækkede chats af den berygtede Conti ransomware-operation, har opdaget, at et team inde i den russiske cyberkriminalitetsgruppe aktivt udviklede firmware-hacks. Man kan læse mere om firmwarehack her.
Ifølge meddelelser, der blev udvekslet mellem medlemmer af cyberkriminalitetssyndikatet, conti-udviklere havde skabt proof-of-concept (PoC) kode, der udnyttede Intels Management Engine (ME) til at overskrive flash og for at opnå SMM (System Management Mode) udførelse.
ME er en integreret mikrocontroller i Intel-chipsæt, der kører et mikro-OS for at levere out-of-band-tjenester. Conti har målrettet undersøgelse af denne komponent for at finde udokumenterede funktioner og kommandoer, de kunne udnytte.
Derfra, Conti kunne få adgang til flashhukommelsen, der var vært for UEFI / BIOS-firmware. Dernæst kan man omgå skrivebeskyttelse, og udføre vilkårlig kodekørsel på det kompromitterede system.
Det endelige mål ville være at droppe et SMM-implantat, der ville køre med de højest mulige systemrettigheder (ring-0), mens det praktisk talt ikke kan opdages fra sikkerhedsværktøjer på OS-niveau fordi det ikke kan scannes.
Det er vigtigt at bemærke, at i modsætning til TrickBots modul, der målrettede UEFI-firmwarefejl, hjælper Conti-infektioner og senere foretages af ransomware-gruppen, de nye resultater tyder på, at de ondsindede ingeniører stræbte efter at opdage nye, ukendte sårbarheder i ME.
I februar, mere end 60,000 meddelelser blev lækket fra backend af en Jabber-server, som Conti ransomware-gruppen brugte til intern kommunikation, går tilbage til januar 2021. Digital Shadows har undersøgt lækagen og bragt den i kontekst med sin egen forskning, hvilket giver et sjældent kig ind i cyberkriminelle gruppes indre arbejde.
Den Conti ransomware gruppe er en af de mest produktive ransomware grupper i øjeblikket i drift. Gruppen hævder at have kompromitteret 50+ nye ofre, såsom Oiltanking Deutschland GmbH og Mabanaft Deutschland GmbH.
I marts, hvor den ukrainske cybersikkerhedsforsker, der lækkede chats, opdagede man også et adgangskodebeskyttet arkiv, som indeholdt en ældre version af Conti ransomware-kildekoden, samt kildekoden til version tre af ransomware til VirusTotal, et websted oprettet af det spanske sikkerhedsfirma Hispasec Sistemas.
Firmwareangreb i ransomware
For at et firmwareangreb skal være muligt, skal ransomware-aktørerne først få adgang til systemet via en fælles vej såsom phishing, udnyttelse af en sårbarhed eller udførelse af et forsyningskædeangreb.
Efter at have kompromitteret offeret, bliver angriberne nødt til at følge en angrebsplan baseret på, hvilke “out-of-write protection” -regioner, de har adgang til, afhængigt af ME-implementeringen og forskellige begrænsninger / beskyttelser.
Eclypsium siger, at disse enten kan være adgang til at overskrive SPI-deskriptoren og flytte UEFI / BIOS uden for det beskyttede område eller direkte adgang til BIOS-regionen.
Der er også scenariet med, at ME ikke har adgang til nogen af dem, i hvilket tilfælde trusselsaktørerne kunne udnytte Intels Management Engine til at tvinge en boot fra virtuelle medier og låse op for PCH-beskyttelse, der understøtter SPI-controlleren.
Conti kunne bruge denne angrebsstrøm til at mure systemer permanent, opnå ultimativ vedholdenhed, undgå antivirus- og EDR-registreringer og omgå alle sikkerhedskontroller i OS-laget.
Conti væk, men koden lever stadig
Mens Conti-operationen ser ud til at være lukket ned, er mange af dens medlemmer flyttet til andre ransomware-operationer, hvor de fortsætter med at udføre angreb.
Dette betyder også, at alt det arbejde, der er gjort for at udvikle udnyttelser som den, der er spottet af Eclypsium i de lækkede chats, fortsat vil eksistere.
Som forskerne forklarer, Conti havde en fungerende PoC for disse angreb siden sidste sommer, så det er sandsynligt, at de allerede havde chancen for at anvende det i faktiske angreb.
Raas kan vende tilbage i en rebranded form, kernemedlemmerne kan deltage i andre ransomware-operationer, og samlet, udnyttelserne vil fortsat blive brugt.
For at beskytte mod truslerne skal du anvende de tilgængelige firmwareopdateringer til din hardware, overvåge ME for konfigurationsændringer og kontrollere SPI-flashens integritet regelmæssigt.
Kilde: Bleebing Computer
Fotokredit: Intel
