تكشف تسريبات Conti Leaks عن اهتمام Ransomware Gang بالهجمات المستندة إلى البرامج الثابتة
كشف تحليل للدردشات المسربة من مجموعة Conti ransomware سيئة السمعة في وقت سابق من هذا العام أن النقابة كانت تعمل على مجموعة من تقنيات هجوم البرامج الثابتة التي يمكن أن توفر مسارًا للوصول إلى التعليمات البرمجية المميزة على الأجهزة المخترقة.
قالت شركة Eclypsium لأمن البرامج الثابتة والأجهزة في تقرير تمت مشاركته مع The Hacker News : “يمنح التحكم في البرامج الثابتة للمهاجمين صلاحيات لا مثيل لها للتسبب مباشرة في الضرر ولتمكين أهداف إستراتيجية أخرى طويلة المدى” .
“سيسمح هذا المستوى من الوصول للخصم بإحداث ضرر لا يمكن إصلاحه لنظام ما أو إنشاء استمرار مستمر غير مرئي تقريبًا لنظام التشغيل.”
على وجه التحديد ، يشمل ذلك الهجمات التي تستهدف المتحكمات الدقيقة المضمنة مثل Intel Management Engine ( ME ) ، وهو مكون متميز يعد جزءًا من مجموعة شرائح معالج الشركة والذي يمكنه تجاوز نظام التشغيل تمامًا.
وتجدر الإشارة إلى أن سبب هذا التركيز المتطور ليس بسبب وجود ثغرات أمنية جديدة في شرائح Intel ، بل يرجع إلى احتمال أن “المؤسسات لا تقوم بتحديث البرامج الثابتة لمجموعة الشرائح بنفس الانتظام الذي تفعله مع برامجها أو حتى البرامج الثابتة لنظام UEFI / BIOS “.
ألقت المحادثات بين أعضاء كونتي ، والتي تسربت بعد تعهد المجموعة بدعمها لروسيا في غزو الأخيرة لأوكرانيا ، الضوء على محاولات النقابة للتنقيب عن نقاط الضعف المتعلقة بالبرامج الثابتة ME وحماية الكتابة BIOS.
استلزم ذلك العثور على أوامر ونقاط ضعف غير موثقة في واجهة ME ، وتحقيق تنفيذ الكود في ME للوصول إلى ذاكرة فلاش SPI وإعادة كتابتها ، وإسقاط غرسات على مستوى System Management Mode ( SMM ) ، والتي يمكن الاستفادة منها حتى لتعديل النواة.
تجلى البحث في النهاية في شكل كود إثبات المفهوم (PoC) في يونيو 2021 والذي يمكنه الحصول على تنفيذ كود SMM من خلال السيطرة على الشرق الأوسط بعد الحصول على وصول أولي إلى المضيف عن طريق المتجهات التقليدية مثل التصيد والبرامج الضارة ، أو حل وسط في سلسلة التوريد ، تظهر الدردشات المسربة.
قال الباحثون: “من خلال تحويل التركيز إلى Intel ME بالإضافة إلى استهداف الأجهزة التي يكون فيها BIOS محميًا ضد الكتابة ، يمكن للمهاجمين بسهولة العثور على المزيد من الأجهزة المستهدفة المتاحة”.
هذا ليس كل شئ. يمكن أيضًا استغلال التحكم في البرامج الثابتة للحصول على ثبات طويل الأمد ، والتهرب من الحلول الأمنية ، والتسبب في تلف نظام لا يمكن إصلاحه ، مما يمكّن الفاعل من شن هجمات مدمرة كما شهدنا خلال الحرب الروسية الأوكرانية.
وقال الباحثون: “كشفت تسريبات كونتي عن تحول استراتيجي ينقل هجمات البرامج الثابتة بعيدًا عن أعين المتطفلين لأدوات الأمان التقليدية”.
“يمنح التحول إلى البرامج الثابتة في ME للمهاجمين مجموعة أكبر بكثير من الضحايا المحتملين للهجوم ، وسبيلًا جديدًا للوصول إلى أكثر الأكواد تميزًا وأوضاع التنفيذ المتاحة على الأنظمة الحديثة.”
إرسال التعليق