Il gruppo ransomware Conti ha cercato un modo per compromettere il firmware Intel: esiste già un proof of concept

I ricercatori di sicurezza di Eclypsium che hanno passato al setaccio le chat interne del gruppo hacker Conti, fuoriuscite nei mesi scorsi, hanno scoperto una intensa attività di sviluppo di firmware compromessi: i ricercatori hanno in particolare individuato un codice Proof-of-Concept che poteva interagire con il Management Engine di Intel per sovrascrivere il flash e ottenere l'esecuzione System Management Mode.

Il Management Engine è un microcontrollore integrato all'interno dei chipset Intel e che esegue un micro-OS allo scopo di eseguire servizi out-of-band. Conti lo stava analizzando così da trovare funzioni e comandi non documentati che potessero essere sfruttabili ai loro scopi. 

Eclypsium spiega come partendo da lì, il gruppo Conti avrebbe potuto accedere alla memoria flash che contiene il firmware UEFI/BIOS, scavalcare le protezioni di scrittura ed eseguire l'esecuzione di codice arbitrario sul sistema compromesso. L'obiettivo ultimo sarebbe stato quello di impiantare un SMM capace di operare con i più elevati privilegi di sistema possibili, senza essere rilevato dagli strumenti di sicurezza a livello di sistema operativo.

Di recente il gruppo Conti pare abbia terminato le proprie operazioni, suddividendosi però in gruppi più piccoli che restano comunque in attività. E' quindi possibile che il lavoro portato avanti nello sviluppo di exploit per il firmware possa rappresentare un punto di partenza per nuove campagne mirate. Anzi, considerando la disponibilità di un Proof-of-Concept funzionante, non è da escludere che questa strada possa essere già stata percorsa in attacchi reali.