Malware používá funkci procesorů Intel k odcizení dat a zabránění firewallům

Tým zabezpečení společnosti Microsoft objevil nový malware, který jako nástroj pro přenos souborů využívá rozhraní Intel (Active Management Technology) AMT (Serial-over-LAN) (SOL).

Díky provozu technologie Intel AMT SOL obchází provoz rozhraní SOL lokální počítačové sítě, takže lokálně nainstalované brány firewall nebo bezpečnostní produkty nemohou detekovat nebo blokovat malware při odesílání dat do zahraničí.

Intel AMT SOL odhaluje skryté síťové rozhraní

Zdá se, že je to možné, protože Intel AMT SOL je součástí Intel ME (Management Engine), samostatného procesoru zabudovaného do procesorů Intel a provozujícího svůj vlastní operační systém.

Intel ME běží, i když je hlavní procesor vypnutý, a přestože se tato funkce může zdát divná, Intel ji začlenil, aby poskytoval funkce vzdálené správy společnostem spravujícím velké sítě stovek počítačů.

Dobrou zprávou však je, že rozhraní Intel AMT SOL je ve výchozím nastavení deaktivováno na všech procesorech Intel, takže vlastník PC nebo místní správce systému musí tuto funkci ručně povolit. Společnost Microsoft však objevila malware vytvořený skupinou cyber-špionáž, která využívá rozhraní k odcizení dat z infikovaných počítačů.

Microsoft neodhalil, zda hackeři patřící do skupiny známé jako PLATINUM nenašli tajný způsob, jak tuto funkci povolit na infikovaných počítačích, nebo pokud ji jednoduše považovali za aktivní a rozhodli se ji použít.

Vzhledem k těmto skutečnostem společnost Microsoft uvedla, že byla schopna identifikovat malware, který funguje, a vydala aktualizaci pro Windows Defender ATP, aby jej detekoval dříve, než získá přístup k rozhraní AMT SOL.