Kötü üne sahip Conti fidye yazılımı grubundan bu yılın başlarında sızdırılan sohbetlerin bir analizi, sendikanın güvenliği ihlal edilmiş cihazlarda ayrıcalıklı koda erişmenin bir yolunu sunabilecek bir dizi donanım yazılımı saldırı tekniği üzerinde çalıştığını ortaya çıkardı.
Firmware ve donanım güvenliği firması Eclypsium, “Firmware üzerinde kontrol, saldırganlara hem doğrudan hasar verme hem de diğer uzun vadeli stratejik hedeflere olanak sağlama konusunda neredeyse eşsiz güçler veriyor” söz konusu The Hacker News ile paylaşılan bir raporda.
“Böyle bir erişim seviyesi, bir düşmanın bir sisteme onarılamaz hasar vermesine veya işletim sistemi için neredeyse görünmez olan sürekli bir kalıcılık oluşturmasına izin verir.”
Spesifik olarak, bu, Intel gibi gömülü mikro denetleyicilere yönelik saldırıları içerir. Yönetim Motoru (BEN), şirketin işlemci yonga setlerinin bir parçası olan ve işletim sistemini tamamen atlayabilen ayrıcalıklı bir bileşen.
Bu gelişen odaklanmanın nedeninin Intel yonga setlerinde yeni güvenlik açıkları olmasından değil, “kuruluşların yonga seti donanım yazılımlarını yazılımlarını ve hatta yazılımlarını yaptıkları aynı düzenlilikle güncellememeleri” olasılığına dayandığını belirtmekte fayda var. UEFI/BIOS sistem bellenimi.”
Grubun Ukrayna’yı işgalinde Rusya’ya destek sözü verdikten sonra sızdırılan Conti üyeleri arasındaki konuşmalar, sendikanın ME bellenimi ve BIOS yazma korumasıyla ilgili güvenlik açıkları için madencilik yapma girişimlerine ışık tuttu.
Bu, ME arayüzünde belgelenmemiş komutları ve güvenlik açıklarını bulmayı, ME’de SPI flash belleğine erişmek ve yeniden yazmak için kod yürütmeyi ve hatta çekirdeği değiştirmek için kullanılabilecek Sistem Yönetim Modu (SMM) düzeyinde implantları bırakmayı gerektirdi.
Araştırma, nihayetinde, kimlik avı, kötü amaçlı yazılım gibi geleneksel vektörler aracılığıyla ana bilgisayara ilk erişim elde ettikten sonra ME üzerinde kontrol kazanarak SMM kod yürütmesi kazanabilen Haziran 2021’de bir kavram kanıtı (PoC) kodu biçiminde ortaya çıktı. veya bir tedarik zinciri uzlaşması, sızdırılan sohbetler gösteriyor.
Araştırmacılar, “Odağı Intel ME’ye kaydırarak ve BIOS’un yazmaya karşı korumalı olduğu cihazları hedefleyerek, saldırganlar çok daha fazla kullanılabilir hedef cihazı kolayca bulabilirler” dedi.
Hepsi bu değil. Ürün yazılımı üzerindeki kontrol, uzun vadeli kalıcılık elde etmek, güvenlik çözümlerinden kaçınmak ve onarılamaz sistem hasarına neden olmak için de kullanılabilir, bu da tehdit aktörünün Rus-Ukrayna savaşında görüldüğü gibi yıkıcı saldırılar gerçekleştirmesini sağlar.
Araştırmacılar, “Conti sızıntıları, ürün yazılımı saldırılarını geleneksel güvenlik araçlarının meraklı gözlerinden daha da uzağa taşıyan stratejik bir değişimi ortaya çıkardı” dedi.
“ME donanım yazılımına geçiş, saldırganlara saldırabilecekleri çok daha büyük bir potansiyel kurban havuzu ve modern sistemlerde bulunan en ayrıcalıklı kod ve yürütme modlarına ulaşmak için yeni bir yol sağlıyor.”