Analisis obrolan bocor dari grup Conti ransomware yang terkenal awal tahun ini telah mengungkapkan bahwa sindikat tersebut telah mengerjakan serangkaian teknik serangan firmware yang dapat menawarkan jalur untuk mengakses kode istimewa pada perangkat yang disusupi.
“Kontrol atas firmware memberi penyerang kekuatan yang hampir tak tertandingi untuk secara langsung menyebabkan kerusakan dan untuk mengaktifkan tujuan strategis jangka panjang lainnya,” kata perusahaan keamanan firmware dan perangkat keras Eclypsium dalam sebuah laporan yang dibagikan kepada The Hacker News.
“Tingkat akses seperti itu akan memungkinkan musuh menyebabkan kerusakan yang tidak dapat diperbaiki pada sistem atau untuk membangun kegigihan berkelanjutan yang hampir tidak terlihat oleh sistem operasi.”
Secara khusus, ini termasuk serangan yang ditujukan pada mikrokontroler tertanam seperti Intel Management Engine (ME), komponen istimewa yang merupakan bagian dari chipset prosesor perusahaan dan yang dapat sepenuhnya melewati sistem operasi.
Percakapan di antara anggota Conti, yang bocor setelah kelompok tersebut menjanjikan dukungannya kepada Rusia dalam invasi terakhir ke Ukraina, telah menjelaskan upaya sindikat untuk menambang kerentanan yang terkait dengan firmware ME dan perlindungan penulisan BIOS.
Ini memerlukan penemuan perintah dan kerentanan yang tidak terdokumentasi di antarmuka ME, mencapai eksekusi kode di ME untuk mengakses dan menulis ulang memori flash SPI, dan menjatuhkan implan tingkat System Management Mode (SMM), yang dapat dimanfaatkan bahkan untuk memodifikasi kernel.
Penelitian tersebut akhirnya diwujudkan dalam bentuk kode proof-of-concept (PoC) pada Juni 2021 yang dapat memperoleh eksekusi kode SMM dengan mendapatkan kendali atas ME setelah mendapatkan akses awal ke host melalui vektor tradisional seperti phishing, malware, atau kompromi rantai pasokan, obrolan yang bocor menunjukkan.
“Dengan mengalihkan fokus ke Intel ME serta menargetkan perangkat di mana BIOS dilindungi dari penulisan, penyerang dapat dengan mudah menemukan lebih banyak perangkat target yang tersedia,” kata para peneliti.
Itu tidak semua. Kontrol atas firmware juga dapat dieksploitasi untuk mendapatkan kegigihan jangka panjang, menghindari solusi keamanan, dan menyebabkan kerusakan sistem yang tidak dapat diperbaiki, memungkinkan pelaku ancaman untuk melakukan serangan destruktif seperti yang disaksikan selama perang Rusia-Ukraina.
“Kebocoran Conti mengungkap pergeseran strategis yang memindahkan serangan firmware lebih jauh dari mata-mata alat keamanan tradisional,” kata para peneliti.
“Pergeseran ke firmware ME memberi penyerang kumpulan korban potensial yang jauh lebih besar untuk diserang, dan jalan baru untuk mencapai kode paling istimewa dan mode eksekusi yang tersedia pada sistem modern.”