Зловредният софтуер използва функция на процесорите на Intel за кражба на данни и предотвратяване на защитни стени

Екипът за сигурност на Microsoft откри нов зловреден софтуер, който се възползва от интерфейса за серийно надвишаване на LAN (SOL) на Intel за управление на технологията (AMT) като инструмент за прехвърляне на файлове.

Поради работещата технология Intel AMT SOL, трафикът на интерфейс SOL заобикаля локалните компютърни мрежи, така че локално инсталираните защитни стени или продукти за сигурност не могат да откриват или блокират злонамерен софтуер, докато изпращат данни в чужбина.

Intel AMT SOL разкрива скрит мрежов интерфейс

Изглежда това е възможно, тъй като Intel AMT SOL е част от Intel ME (Management Engine), отделен процесор, вграден в процесорите на Intel и работещ със собствена операционна система.

Intel ME работи дори когато основният процесор е изключен и макар тази функция да изглежда странна, Intel го включи, за да предостави възможности за дистанционно управление на компании, управляващи големи мрежи от стотици компютри.

Добрата новина обаче е, че интерфейсът Intel AMT SOL е деактивиран по подразбиране на всички процесори на Intel, така че собственикът на компютъра или локалният системен администратор трябва да активира ръчно тази функция. Microsoft обаче е открила зловреден софтуер, създаден от група за кибер-шпионаж, която се възползва от интерфейса за кражба на данни от заразени компютри.

Microsoft не разкри дали хакерите, принадлежащи към група, известна като PLATINUM, са намерили секретен начин да активират тази функция на заразените компютри или просто са я намерили активна и са решили да я използват.

Като се имат предвид тези факти, Microsoft заяви, че е в състояние да идентифицира работата на зловредния софтуер и пусна актуализация за Windows Defender ATP, за да го открие, преди да получи достъп до интерфейса на AMT SOL.