Il malware utilizza una funzionalità dei processori Intel per rubare dati e prevenire i firewall

Il team di sicurezza di Microsoft ha scoperto un nuovo malware che sfrutta l'interfaccia Intel Active Management Technology (AMT) Serial-over-LAN (SOL) come strumento di trasferimento file.

A causa della tecnologia Intel AMT SOL in esecuzione, il traffico dell'interfaccia SOL ignora le reti di computer locali, quindi i firewall installati localmente oi prodotti di sicurezza non possono rilevare o bloccare malware durante l'invio di dati all'estero.

Intel AMT SOL espone un'interfaccia di rete nascosta

Ciò sembra essere possibile perché Intel AMT SOL fa parte di Intel ME (Management Engine), un processore separato integrato nelle CPU Intel e che esegue il proprio sistema operativo.

Intel ME funziona anche quando il processore principale è spento e, sebbene questa funzionalità possa sembrare strana, Intel l'ha incorporata per fornire funzionalità di gestione remota alle aziende che gestiscono grandi reti di centinaia di computer.

Tuttavia, la buona notizia è che l'interfaccia Intel AMT SOL è disabilitata per impostazione predefinita su tutte le CPU Intel, quindi il proprietario del PC o l'amministratore di sistema locale deve abilitare manualmente questa funzione. Tuttavia, Microsoft ha scoperto malware creati da un gruppo di spionaggio informatico che sfrutta l'interfaccia per sottrarre dati da computer infetti.

Microsoft non ha rivelato se gli hacker, appartenenti a un gruppo noto come PLATINUM, abbiano trovato un modo segreto per abilitare questa funzione su computer infetti o se l'hanno semplicemente trovata attiva e hanno deciso di utilizzarla.

Alla luce di questi fatti, Microsoft ha dichiarato di essere in grado di identificare il malware funzionante e ha rilasciato un aggiornamento per Windows Defender ATP al fine di rilevarlo prima che ottenga l'accesso all'interfaccia AMT SOL.