Malware menggunakan ciri pemproses Intel untuk mencuri data dan mencegah firewall

Pasukan keselamatan Microsoft telah menemui satu malware baru yang mengambil kesempatan daripada antara muka Serial-over-LAN (SOL) Teknologi Pengurusan Aktif (AMT) Intel sebagai alat pemindahan fail.

Oleh kerana teknologi AMT SOL Intel berjalan, trafik antara muka SOL memintas rangkaian komputer tempatan, supaya firewall dipasang di Malaysia atau produk keselamatan tidak dapat mengesan atau menyekat malware semasa menghantar data ke luar negara.

Intel AMT SOL mendedahkan antara muka rangkaian tersembunyi

Ini nampaknya mungkin kerana Intel AMT SOL adalah sebahagian daripada Intel ME (Pengurusan Engine), pemproses berasingan yang dibina dalam CPU Intel, dan menjalankan sistem operasi sendiri.

Intel ME berjalan walaupun pemproses utama dimatikan, dan sementara ciri ini mungkin kelihatan aneh, Intel menggabungkannya untuk menyediakan keupayaan pengurusan jauh kepada syarikat yang menguruskan rangkaian besar beratus-ratus komputer.

Walau bagaimanapun, berita baiknya adalah bahawa antara muka Intel AMT SOL dilumpuhkan secara lalai pada semua CPU Intel, jadi pemilik PC atau pentadbir sistem tempatan harus mengaktifkan ciri ini secara manual. Walau bagaimanapun, Microsoft telah menemui malware yang dicipta oleh kumpulan cyber-espionage yang mengambil kesempatan daripada antara muka untuk mencuri data daripada komputer yang dijangkiti.

Microsoft tidak mendedahkan sama ada peretas, milik kumpulan yang dikenali sebagai PLATINUM, telah menemui cara rahsia untuk membolehkan ciri ini pada komputer yang dijangkiti, atau jika mereka hanya mendapati ia aktif dan memutuskan untuk menggunakannya.

Memandangkan fakta ini, Microsoft berkata bahawa ia dapat mengenal pasti perisian malware itu dan mengeluarkan kemas kini untuk Windows Defender ATP untuk mengesannya sebelum ia mendapat akses kepada antara muka AMT SOL.