Зловмисне програмне забезпечення використовує функцію процесорів Intel для крадіжки даних та запобігання брандмауерам

Команда з безпеки Microsoft виявила нове шкідливе програмне забезпечення, яке використовує переваги інтерфейсу Intel Intel Active Management Technology (AMT) Послідовне передавання через локальну мережу (SOL) як інструмент передачі файлів.

Завдяки застосованій технології Intel AMT SOL, трафік інтерфейсу SOL обходить локальні комп'ютерні мережі, тому локально встановлені брандмауери або продукти безпеки не можуть виявити або заблокувати зловмисне програмне забезпечення під час надсилання даних за кордон.

Intel AMT SOL відкриває прихований мережевий інтерфейс

Це здається можливим, оскільки Intel AMT SOL є частиною Intel ME (Management Engine), окремого процесора, вбудованого в процесори Intel, і працює з власною операційною системою.

Intel ME працює навіть тоді, коли основний процесор вимкнено, і хоча ця функція може здатися дивною, Intel вбудувала його для надання можливостей віддаленого управління компаніям, які керують великими мережами з сотні комп'ютерів.

Однак хороша новина полягає в тому, що інтерфейс Intel AMT SOL відключений за замовчуванням на всіх процесорах Intel, тому власник ПК або локальний системний адміністратор повинні вручну ввімкнути цю функцію. Однак Microsoft виявила зловмисне програмне забезпечення, створене групою кібершпигунів, яка використовує переваги інтерфейсу для крадіжки даних із заражених комп'ютерів.

Microsoft не виявила, чи знайшли хакери, що належать до групи, відомої як PLATINUM, секретний спосіб увімкнути цю функцію на заражених комп'ютерах, чи просто знайшли її активною і вирішили її використовувати.

Враховуючи ці факти, Microsoft заявила, що змогла виявити функціонування шкідливого програмного забезпечення та випустила оновлення для Windows Defender ATP, щоб виявити його до того, як він отримає доступ до інтерфейсу AMT SOL.