Zlonamerna programska oprema uporablja Intelove procesorje za krajo podatkov in preprečevanje požarnih zidov

Microsoftova varnostna ekipa je odkrila novo zlonamerno programsko opremo, ki izkorišča Intelov Intelov Intex Technology Management (AMT) serijski over-LAN (SOL) vmesnik kot orodje za prenos datotek.

Zaradi obratovalne tehnologije Intel AMT SOL promet vmesnikov SOL obide lokalna računalniška omrežja, zato lokalno nameščeni požarni zidovi ali varnostni izdelki med pošiljanjem podatkov v tujino ne morejo zaznati ali blokirati zlonamerne programske opreme.

Intel AMT SOL izpostavlja skriti omrežni vmesnik

Zdi se, da je to mogoče, ker je Intel AMT SOL del Intel ME (Management Engine), ločenega procesorja, vgrajenega v Intelove CPU, in deluje z lastnim operacijskim sistemom.

Intel ME deluje tudi, ko je glavni procesor izklopljen, in čeprav se ta funkcija morda zdi čudna, jo je Intel vgradil, da podjetjem, ki upravljajo velika omrežja več sto računalnikov, ponuja zmogljivosti za oddaljeno upravljanje.

Dobra novica pa je, da je vmesnik Intel AMT SOL privzeto onemogočen na vseh Intelovih procesorjih, zato mora lastnik osebnega računalnika ali lokalni sistemski administrator to funkcijo ročno omogočiti. Vendar je Microsoft odkril zlonamerno programsko opremo, ki jo je ustvarila skupina za spletno vohunjenje, ki izkoristi vmesnik za krajo podatkov iz okuženih računalnikov.

Microsoft ni razkril, ali so hekerji, ki spadajo v skupino, znano kot PLATINUM, našli skriven način, kako to funkcijo omogočiti v okuženih računalnikih, ali so jo preprosto ugotovili, da je aktivna, in se odločili za njeno uporabo.

Glede na ta dejstva je Microsoft dejal, da je uspel prepoznati delujočo zlonamerno programsko opremo in izdal posodobitev sistema Windows Defender ATP, da bi ga zaznal, še preden dobi dostop do vmesnika AMT SOL.