Luego de que semanas atrás estuviera el rumor de la posible desintegración de la banda de cibercriminales, Conti, un análisis de los chats filtrados a principios de este año ha revelado que el sindicato ha estado trabajando en un conjunto de técnicas de ataque al firmware que podrían ofrecer una vía de acceso a código privilegiado en los dispositivos comprometidos. Tal parece que división del grupo pudo haber sido una cortina de humo.
La firma de seguridad de firmware y hardware Eclypsium indicó que, "el control sobre el firmware da a los atacantes poderes prácticamente inigualables tanto para causar daños directamente como para permitir otros objetivos estratégicos a largo plazo"
"Tal nivel de acceso permitiría a un adversario causar daños irreparables a un sistema o establecer una persistencia continua que es prácticamente invisible para el sistema operativo".
Todo indica que se trata de ataques dirigidos a microcontroladores embebidos como el Intel Management Engine (ME), un componente privilegiado que forma parte de los chipsets de los procesadores de la compañía y que puede eludir completamente el sistema operativo.
Las conversaciones entre los miembros de Conti, que se filtraron después de que el grupo prometiera su apoyo a Rusia en la invasión de Ucrania por parte de esta última, han arrojado luz sobre los intentos del sindicato de minar las vulnerabilidades relacionadas con el firmware del ME y la protección contra escritura de la BIOS.
Esto implicaba encontrar comandos no documentados y vulnerabilidades en la interfaz del ME, lograr la ejecución de código en el ME para acceder a la memoria flash SPI y reescribirla y lanzar implantes a nivel del Modo de Gestión del Sistema (SMM), que podían aprovecharse para modificar incluso el kernel.
La investigación se manifestó en forma de un código de prueba de concepto (PoC) en junio de 2021 que puede obtener la ejecución de código SMM al obtener el control sobre el ME después de obtener el acceso inicial al host mediante vectores tradicionales como el phishing, el malware o un compromiso de la cadena de suministro, muestran los chats filtrados.
"Al cambiar el enfoque hacia el ME de Intel, así como dirigirse a los dispositivos en los que la BIOS está protegida contra escritura, los atacantes podrían encontrar fácilmente muchos más dispositivos objetivos disponibles", dijeron los investigadores.
Eso no es todo. El control sobre el firmware también podría explotarse para obtener una persistencia a largo plazo, evadir las soluciones de seguridad y causar daños irreparables en el sistema, lo que permitiría al actor de la amenaza montar ataques destructivos, como se vio durante la guerra ruso-ucraniana.
"Las filtraciones de Conti han puesto de manifiesto un cambio estratégico que aleja aún más los ataques al firmware de las miradas indiscretas de las herramientas de seguridad tradicionales", afirman los investigadores.
"El cambio al firmware ME da a los atacantes un grupo mucho más grande de víctimas potenciales a las que atacar y una nueva vía para alcanzar el código más privilegiado y los modos de ejecución disponibles en los sistemas modernos".
Todo este análisis de parte de los investigadores deja una gran interrogante sobre la posible división del grupo, ya que, si es cierto que aún los ataque continúan, las probabilidades de que sea una cortina de humo y estén planificando un ataque mayor, son muchas o la otra alternativa es que sea uno de esos subgrupos en los cuales se dividieron para seguir diversas embestidas sin ser “rastreados”.