Malware använder en funktion i Intel-processorer för att stjäla data och förhindra brandväggar

Microsofts säkerhetsteam har upptäckt en ny skadlig programvara som utnyttjar Intels Active Management Technology (AMT) Serial-over-LAN (SOL) -gränssnitt som ett filöverföringsverktyg.

På grund av att Intel AMT SOL-tekniken körs, kringgår SOL- gränssnittstrafiken lokala datornätverk, så att lokalt installerade brandväggar eller säkerhetsprodukter inte kan upptäcka eller blockera skadlig programvara när de skickar data utomlands.

Intel AMT SOL visar ett doldt nätverksgränssnitt

Detta verkar vara möjligt eftersom Intel AMT SOL är en del av Intel ME (Management Engine), en separat processor inbyggd i Intels CPU: er och som driver sitt eget operativsystem.

Intel ME körs även när huvudprocessorn är avstängd, och även om den här funktionen kan verka udda, integrerade Intel den för att ge fjärrhanteringsfunktioner till företag som hanterar stora nätverk med hundratals datorer.

Den goda nyheten är dock att Intel AMT SOL- gränssnittet är inaktiverat som standard på alla Intel-CPU: er, så att PC-ägaren eller den lokala systemadministratören måste aktivera den här funktionen manuellt. Microsoft har dock upptäckt skadlig programvara skapad av en cyber-spionagrupp som utnyttjar gränssnittet för att stjäla data från infekterade datorer.

Microsoft avslöjade inte om hackare, som tillhör en grupp som kallas PLATINUM, har hittat ett hemligt sätt att aktivera den här funktionen på infekterade datorer, eller om de helt enkelt tyckte att den var aktiv och beslutade att använda den.

Med tanke på dessa fakta sade Microsoft att den kunde identifiera skadlig programvarens funktion och släppte en uppdatering för Windows Defender ATP för att upptäcka den innan den får åtkomst till AMT SOL-gränssnittet.