Haittaohjelmat käyttävät Intel-prosessorien ominaisuutta tietojen varastamiseen ja palomuurien estämiseen

Microsoftin turvallisuusryhmä on löytänyt uuden haittaohjelman, joka hyödyntää Intelin Active Management Technology (AMT) Serial-over-LAN (SOL) -rajapintaa tiedostojensiirtotyökaluna.

Koska Intel AMT SOL -tekniikka on käynnissä, SOL- liittymän liikenne ohittaa paikalliset tietokoneverkot, joten paikallisesti asennetut palomuurit tai tietoturvatuotteet eivät pysty havaitsemaan tai estämään haittaohjelmia lähettäessään tietoja ulkomaille.

Intel AMT SOL paljastaa piilotetun verkkoliittymän

Tämä näyttää olevan mahdollista, koska Intel AMT SOL on osa Intel ME: tä (Management Engine), joka on erillinen prosessori, joka on rakennettu Intelin suorittimiin ja jolla on oma käyttöjärjestelmä.

Intel ME toimii jopa pääprosessorin ollessa pois päältä. Vaikka tämä ominaisuus voi vaikuttaa outolta, Intel sisällytti sen tarjoamaan etähallintaominaisuuksia yrityksille, jotka hallinnoivat satojen tietokoneiden suuria verkkoja.

Hyvä uutinen on kuitenkin, että Intel AMT SOL -liitäntä on oletuksena poissa käytöstä kaikissa Intelin suorittimissa, joten tietokoneen omistajan tai paikallisen järjestelmänvalvojan on otettava tämä ominaisuus käyttöön manuaalisesti. Microsoft on kuitenkin löytänyt haittaohjelmat, jotka on luonut verkkovakoiluryhmä, joka hyödyntää käyttöliittymää varastamaan tietoja tartunnan saaneilta tietokoneilta.

Microsoft ei paljastanut, ovatko PLATINUM- ryhmään kuuluvat hakkerit löytäneet salaisen tavan ottaa tämä ominaisuus käyttöön tartunnan saaneissa tietokoneissa, vai ovatko he yksinkertaisesti havainneet sen aktiiviseksi ja päättäneet käyttää sitä.

Näiden tosiasioiden perusteella Microsoft ilmoitti pystyvänsä tunnistamaan toimivat haittaohjelmat ja julkaisi päivityksen Windows Defender ATP -sovellukselle sen havaitsemiseksi ennen kuin se saa pääsyn AMT SOL -liitäntään.