Malware používa funkciu procesorov Intel na odcudzenie údajov a zabránenie firewallom

Bezpečnostný tím spoločnosti Microsoft objavil nový malware, ktorý ako nástroj na prenos súborov využíva rozhranie Intel (Active Management Technology) AMT (Serial-over-LAN) (SOL).

Kvôli fungovaniu technológie Intel AMT SOL prevádzka rozhrania SOL obchádza miestne počítačové siete, takže lokálne nainštalované brány firewall alebo bezpečnostné produkty nemôžu pri odosielaní údajov do zahraničia detekovať alebo blokovať škodlivý softvér.

Intel AMT SOL odhaľuje skryté sieťové rozhranie

Zdá sa, že je to možné, pretože Intel AMT SOL je súčasťou Intel ME (Management Engine), samostatného procesora zabudovaného do CPU spoločnosti Intel a prevádzkujúceho vlastný operačný systém.

Intel ME beží, aj keď je hlavný procesor vypnutý, a hoci sa táto funkcia môže zdať čudná, spoločnosť Intel ju začlenila, aby poskytovala možnosti vzdialenej správy spoločnostiam spravujúcim veľké siete stoviek počítačov.

Dobrou správou však je, že rozhranie Intel AMT SOL je štandardne vypnuté na všetkých procesoroch Intel, takže vlastník PC alebo miestny systémový administrátor musí túto funkciu manuálne povoliť. Spoločnosť Microsoft však objavila škodlivý softvér vytvorený skupinou pre počítačové špionáže, ktorá využíva rozhranie na ukradnutie údajov z infikovaných počítačov.

Microsoft neodhalil, či hackeri patriaci do skupiny známej ako PLATINUM našli tajný spôsob, ako povoliť túto funkciu na infikovaných počítačoch, alebo ak ju jednoducho považujú za aktívnu a rozhodli sa ju použiť.

Vzhľadom na tieto skutočnosti spoločnosť Microsoft uviedla, že bola schopná identifikovať činnosť škodlivého softvéru a vydala aktualizáciu pre program Windows Defender ATP, aby ho mohol zistiť skôr, ako získa prístup k rozhraniu AMT SOL.