Malware bruker en funksjon av Intel-prosessorer for å stjele data og forhindre brannmurer

Microsofts sikkerhetsteam har oppdaget en ny malware som drar fordel av Intels Active Management Technology (AMT) Serial-over-LAN (SOL) -grensesnitt som et filoverføringsverktøy.

På grunn av Intel AMT SOL-teknologi som kjører, omgår SOL grensesnitttrafikk lokale datanettverk, slik at lokalt installerte brannmurer eller sikkerhetsprodukter ikke kan oppdage eller blokkere skadelig programvare mens du sender data til utlandet.

Intel AMT SOL eksponerer et skjult nettverksgrensesnitt

Dette ser ut til å være mulig fordi Intel AMT SOL er en del av Intel ME (Management Engine), en egen prosessor innebygd i Intels prosessorer, og som kjører sitt eget operativsystem.

Intel ME kjører selv når hovedprosessoren er slått av, og selv om denne funksjonen kan virke underlig, integrerte Intel den for å gi eksterne administrasjonsfunksjoner til selskaper som administrerer store nettverk på hundrevis av datamaskiner.

Den gode nyheten er imidlertid at Intel AMT SOL- grensesnittet er deaktivert som standard på alle Intel CPUer, så PC-eieren eller den lokale systemadministratoren må aktivere denne funksjonen manuelt. Imidlertid har Microsoft oppdaget malware opprettet av en cyber-spionasjegruppe som drar nytte av grensesnittet for å stjele data fra infiserte datamaskiner.

Microsoft avslørte ikke om hackere, som tilhører en gruppe kjent som PLATINUM, har funnet en hemmelig måte å aktivere denne funksjonen på infiserte datamaskiner, eller om de ganske enkelt fant den aktive og bestemte seg for å bruke den.

Gitt disse fakta, sa Microsoft at den var i stand til å identifisere skadelig programvare som fungerer og ga ut en oppdatering for Windows Defender ATP for å oppdage den før den får tilgang til AMT SOL-grensesnittet.