Programele malware folosesc o caracteristică a procesoarelor Intel pentru a fura date și a preveni firewall-urile

Echipa de securitate Microsoft a descoperit un nou malware care profită de interfața Serial-over-LAN (SOL) Intel Intel Management Management (AMT) Intel ca instrument de transfer de fișiere.

Datorită tehnologiei Intel AMT SOL care rulează, traficul cu interfața SOL ocolește rețelele de calculatoare locale, astfel că firewall-urile instalate local sau produsele de securitate nu pot detecta sau bloca malware în timp ce trimit date în străinătate.

Intel AMT SOL expune o interfață de rețea ascunsă

Acest lucru pare a fi posibil, deoarece Intel AMT SOL face parte din procesorul Intel ME (Management Engine), un procesor separat încorporat în procesoarele Intel și care rulează propriul său sistem de operare.

Intel ME rulează chiar și atunci când procesorul principal este oprit și, deși această caracteristică poate părea ciudată, Intel a încorporat-o pentru a oferi capacități de gestionare la distanță companiilor care administrează rețele mari de sute de computere.

Cu toate acestea, vestea bună este că interfața Intel AMT SOL este dezactivată în mod implicit pe toate procesoarele Intel, deci proprietarul computerului sau administratorul sistemului local trebuie să activeze manual această caracteristică. Cu toate acestea, Microsoft a descoperit malware creat de un grup de spionaj cibernetic care profită de interfață pentru a fura date de pe calculatoarele infectate.

Microsoft nu a dezvăluit dacă hackerii, aparținând unui grup cunoscut sub numele de PLATINUM, au găsit o modalitate secretă de a activa această caracteristică pe computerele infectate sau dacă au găsit-o pur și simplu activă și au decis să o folosească.

Având în vedere aceste fapte, Microsoft a spus că a fost capabil să identifice malware-ul care funcționează și a lansat o actualizare pentru Windows Defender ATP pentru a-l detecta înainte de a avea acces la interfața AMT SOL.