Ερευνητές που αναλύουν τις συνομιλίες που διέρρευσαν της περιβόητης επιχείρησης ransomware Conti ανακάλυψαν ότι ομάδες εντός της ρωσικής ομάδας εγκλήματος στον κυβερνοχώρο ανέπτυξαν ενεργά hacks υλικολογισμικού.
Σύμφωνα με μηνύματα που ανταλλάχθηκαν μεταξύ μελών του συνδικάτου για το έγκλημα στον κυβερνοχώρο, οι προγραμματιστές της Conti είχαν δημιουργήσει κώδικα απόδειξης ιδέας (PoC) που αξιοποίησε τη Μηχανή Διαχείρισης της Intel (ME) για να αντικαταστήσει το flash και να κερδίσει την εκτέλεση SMM (System Management Mode).
Το ME είναι ένας ενσωματωμένος μικροελεγκτής σε chipset της Intel που τρέχουν ένα micro-OS για την παροχή υπηρεσιών εκτός ζώνης. Ο Conti μπερδεύει αυτό το στοιχείο για να βρει μη τεκμηριωμένες λειτουργίες και εντολές που θα μπορούσαν να αξιοποιήσουν.
Από εκεί, ο Conti μπορούσε να έχει πρόσβαση στη μνήμη flash που φιλοξενούσε το υλικολογισμικό UEFI/BIOS, να παρακάμψει τις προστασίες εγγραφής και να εκτελέσει αυθαίρετη εκτέλεση κώδικα στο παραβιασμένο σύστημα.
Ο τελικός στόχος θα ήταν η απόρριψη ενός εμφυτεύματος SMM που θα λειτουργούσε με τα υψηλότερα δυνατά προνόμια συστήματος (ring-0), ενώ θα ήταν πρακτικά μη ανιχνεύσιμο από εργαλεία ασφαλείας σε επίπεδο λειτουργικού συστήματος.
Είναι σημαντικό να σημειωθεί ότι σε αντίθεση με τη μονάδα του TrickBot που στόχευε ελαττώματα υλικολογισμικού UEFI, βοηθώντας τις μολύνσεις Conti και έγινε από την ομάδα ransomware, τα νέα ευρήματα δείχνουν ότι οι κακόβουλοι μηχανικοί προσπαθούσαν να ανακαλύψουν νέα, άγνωστα τρωτά σημεία στο ME.