Ļaunprātīga programmatūra izmanto Intel procesoru funkciju, lai nozagtu datus un novērstu ugunsmūrus

Microsoft drošības komanda ir atklājusi jaunu ļaunprogrammatūru, kas izmanto Intel aktīvās pārvaldības tehnoloģijas (AMT) seriālā LAN tīkla (SOL) saskarni kā failu pārsūtīšanas rīku.

Tā kā darbojas Intel AMT SOL tehnoloģija, SOL saskarnes trafiks apiet vietējos datortīklus, tāpēc lokāli instalēti ugunsmūri vai drošības produkti nevar atklāt vai bloķēt ļaunprātīgu programmatūru, sūtot datus uz ārzemēm.

Intel AMT SOL pakļauj slēptu tīkla saskarni

Šķiet, ka tas ir iespējams, jo Intel AMT SOL ir daļa no Intel ME (Management Engine), kas ir atsevišķs procesors, kas iebūvēts Intel centrālajos procesoros un darbojas ar savu operētājsistēmu.

Intel ME darbojas pat tad, ja galvenais procesors ir izslēgts, un, lai gan šī funkcija varētu šķist dīvaina, Intel to iekļāva, lai nodrošinātu attālinātas pārvaldības iespējas uzņēmumiem, kas pārvalda lielus simtiem datoru tīklus.

Tomēr labā ziņa ir tā, ka Intel AMT SOL interfeiss pēc noklusējuma ir atspējots visiem Intel centrālajiem procesoriem, tāpēc datora īpašniekam vai vietējās sistēmas administratoram šī funkcija ir jāiespējo manuāli. Tomēr Microsoft ir atklājis ļaunprātīgu programmatūru, ko izveidojusi kiberspiegotāju grupa, kura izmanto interfeisu, lai nozagtu datus no inficētiem datoriem.

Microsoft neatklāja, vai hakeri, kas pieder grupai, kas pazīstama kā PLATINUM, ir atraduši slepenu veidu, kā iespējot šo funkciju inficētajos datoros, vai arī viņi vienkārši atzina to par aktīvu un nolēma to izmantot.

Ņemot vērā šos faktus, Microsoft paziņoja, ka tas spēj identificēt ļaunprātīgas programmatūras darbību un izlaida Windows Defender ATP atjauninājumu, lai to varētu atklāt pirms piekļuves AMT SOL saskarnei.