Хак-группа Conti хотела использовать в атаках Intel Management Engine - «Новости»

  • 10:30, 04-июн-2022
  • Блог для вебмастеров / Новости / Преимущества стилей / Отступы и поля / Текст / Заработок
  • Аркадий
  • 0

Исследователи продолжают изучать чаты вымогательской группировки Conti, которые «утекли» весной текущего года. Теперь эксперты обнаружили, что хакеры активно работали над взломом прошивок и планировали использовать Intel Management Engine (ME) для перезаписи флеш-памяти и создания имплантата уровня SMM (System Management Mode).


«Контроль над прошивкой дал бы злоумышленникам практически непревзойденные возможности, как для непосредственного нанесения ущерба, так и для достижения других стратегических целей, — рассказывают эксперты компании Eclypsium. — Такой уровень доступа позволил бы нанести непоправимый ущерб системе или закрепиться [на целевой машине], практически незаметно для операционной системы».


Из переписки участников хак-группы стало ясно, что в Conti занимались фаззингом Intel ME, стремясь обнаружить недокументированные функции и команды, которые можно было бы использовать. Таким образом хакеры могли бы получить доступ к флеш-памяти, где размещается прошивка UEFI/BIOS, обойти защиту от записи и выполнить произвольный код. Конечной целью было бы создание SMM-имплантата, который работал бы с максимально возможными привилегиями (ring-0), но при этом был бы «невидим» для защитных решений на уровне ОС.





Исследователи пишут, что для атаки на прошивку злоумышленникам сначала нужно было получить доступ к системе обычным способом (фишинг, эксплуатация уязвимостей или атака на цепочку поставок). После компрометации ME хакеры должны были понять, к каким областям «защиты от записи» у них есть доступ, что могло варьироваться в зависимости от имплементации ME и различных защит и ограничений. По мнению экспертов, это могло осуществляться либо при помощи перезаписи SPI Descriptor и перемещения UEFI/BIOS за пределы защищенной области, либо путем прямого доступа к BIOS.





Если у ME не было такого доступа, хакеры могли использовать Intel Management Engine для принудительной загрузки с виртуального носителя и разблокировки защиты PCH, которая лежит в основе SPI.


Хотя по последним данным хак-группа Conti, похоже, прекратила свое существование, ее участники теперь работают над другими вымогателями и продолжают свои атаки. То есть вся работа по созданию эксплоитов, которые хакеры обсуждали в чатах, не пропадет впустую. Хуже того, по данным исследователей, у Conti еще прошлым летом был работающий PoC для подобных атак, поэтому вполне вероятно, что хакеры уже применяют такие техники на практике.



Другие новости


Рекомендуем

Комментарии (0)

Комментарии для сайта Cackle



Уважаемый посетитель нашего сайта!
Комментарии к данной записи отсутсвуют. Вы можете стать первым!