Malware gebruikt een functie van Intel-processors om gegevens te stelen en firewalls te voorkomen

Het beveiligingsteam van Microsoft heeft een nieuwe malware ontdekt die gebruikmaakt van Intel's Active Management Technology (AMT) Serial-over-LAN (SOL) -interface als hulpmiddel voor bestandsoverdracht.

Omdat Intel AMT SOL-technologie actief is, omzeilt SOL- interfaceverkeer lokale computernetwerken, zodat lokaal geïnstalleerde firewalls of beveiligingsproducten geen malware kunnen detecteren of blokkeren tijdens het verzenden van gegevens naar het buitenland.

Intel AMT SOL onthult een verborgen netwerkinterface

Dit lijkt mogelijk te zijn omdat Intel AMT SOL deel uitmaakt van de Intel ME (Management Engine), een afzonderlijke processor die is ingebouwd in Intel's CPU's, en een eigen besturingssysteem heeft.

Intel ME werkt zelfs wanneer de hoofdprocessor is uitgeschakeld, en hoewel deze functie misschien vreemd lijkt, heeft Intel deze geïntegreerd om beheer op afstand te bieden aan bedrijven die grote netwerken van honderden computers beheren.

Het goede nieuws is echter dat de Intel AMT SOL- interface standaard is uitgeschakeld op alle Intel-CPU's, dus de pc-eigenaar of lokale systeembeheerder moet deze functie handmatig inschakelen. Microsoft heeft echter malware ontdekt die is gemaakt door een cyberspionagegroep die gebruikmaakt van de interface om gegevens van geïnfecteerde computers te stelen.

Microsoft heeft niet onthuld of hackers, behorend tot een groep die bekend staat als PLATINUM, een geheime manier hebben gevonden om deze functie op geïnfecteerde computers in te schakelen, of dat ze deze gewoon actief vonden en besloten deze te gebruiken.

Gezien deze feiten zei Microsoft dat het de werking van de malware kon identificeren en een update voor Windows Defender ATP heeft uitgebracht om het te detecteren voordat het toegang krijgt tot de AMT SOL-interface.