Złośliwe oprogramowanie wykorzystuje funkcję procesorów Intel do kradzieży danych i zapobiegania zaporom ogniowym

Zespół ds. Bezpieczeństwa firmy Microsoft odkrył nowe złośliwe oprogramowanie, które wykorzystuje interfejs Serial-over-LAN (SOL) firmy Intel jako narzędzie do przesyłania plików.

Z powodu działania technologii Intel AMT SOL ruch interfejsu SOL omija lokalne sieci komputerowe, więc lokalnie zainstalowane zapory ogniowe lub produkty bezpieczeństwa nie mogą wykryć ani zablokować złośliwego oprogramowania podczas wysyłania danych za granicę.

Intel AMT SOL udostępnia ukryty interfejs sieciowy

Wydaje się to możliwe, ponieważ Intel AMT SOL jest częścią Intel ME (Management Engine), oddzielnego procesora wbudowanego w procesory Intela i działającego we własnym systemie operacyjnym.

Intel ME działa nawet wtedy, gdy główny procesor jest wyłączony i chociaż ta funkcja może wydawać się dziwna, Intel zastosował ją, aby zapewnić możliwości zdalnego zarządzania firmom zarządzającym dużymi sieciami setek komputerów.

Jednak dobrą wiadomością jest to, że interfejs Intel AMT SOL jest domyślnie wyłączony na wszystkich procesorach Intel, więc właściciel komputera lub lokalny administrator systemu musi ręcznie włączyć tę funkcję. Jednak Microsoft odkrył złośliwe oprogramowanie stworzone przez grupę cyberszpiegowską, która wykorzystuje interfejs do kradzieży danych z zainfekowanych komputerów.

Microsoft nie ujawnił, czy hakerzy należący do grupy znanej jako PLATINUM znaleźli tajny sposób włączenia tej funkcji na zainfekowanych komputerach, czy też po prostu uznali ją za aktywną i postanowili z niej skorzystać.

Biorąc pod uwagę te fakty, Microsoft powiedział, że jest w stanie zidentyfikować szkodliwe oprogramowanie i wydał aktualizację dla Windows Defender ATP w celu wykrycia go, zanim uzyska dostęp do interfejsu AMT SOL.