Вредоносные программы используют функцию процессоров Intel для кражи данных и предотвращения брандмауэров

Команда безопасности Microsoft обнаружила новое вредоносное ПО, использующее интерфейс Intel Active Active Technology (AMT) Serial-over-LAN (SOL) в качестве инструмента передачи файлов.

Благодаря использованию технологии Intel AMT SOL трафик интерфейса SOL обходит локальные компьютерные сети, поэтому локально установленные брандмауэры или продукты безопасности не могут обнаруживать или блокировать вредоносные программы при отправке данных за границу.

Intel AMT SOL предоставляет скрытый сетевой интерфейс

Это представляется возможным, поскольку Intel AMT SOL является частью Intel ME (Management Engine), отдельного процессора, встроенного в процессоры Intel и работающего под управлением собственной операционной системы.

Intel ME работает даже тогда, когда основной процессор выключен, и хотя эта функция может показаться странной, Intel включила ее, чтобы предоставить возможности удаленного управления компаниям, управляющим большими сетями из сотен компьютеров.

Тем не менее, хорошая новость заключается в том, что интерфейс Intel AMT SOL отключен по умолчанию на всех процессорах Intel, поэтому владелец ПК или локальный системный администратор должен вручную включить эту функцию. Однако Microsoft обнаружила вредоносное ПО, созданное группой кибершпионажа, которая использует интерфейс для кражи данных с зараженных компьютеров.

Microsoft не раскрыла, нашли ли хакеры, принадлежащие к группе, известной как PLATINUM, секретный способ включить эту функцию на зараженных компьютерах, или они просто обнаружили ее активную и решили использовать ее.

Учитывая эти факты, Microsoft заявила, что ей удалось идентифицировать работающее вредоносное ПО, и выпустила обновление для Защитника Windows ATP, чтобы обнаружить его до того, как оно получит доступ к интерфейсу AMT SOL.