Skip to main content

Scoperto il primo malware per furto di dati che sfrutta la tecnologia AMT di Intel per aggirare i Firewall

Non è difficile per un gruppo di hacking sponsorizzato dal governo entrare in reti consolidate e compromettere i sistemi con malware, ma la cosa impegnativa è mantenere l’anonimato e far sì che la comunicazione non venga rilevata da firewall o altre applicazioni di monitoraggio.

Tuttavia, un gruppo di cyber-spionaggio denominato “Platinum“, che sta colpendo attivamente organizzazioni governative, istituti di difesa e fornitori di telecomunicazioni dal 2009, ha trovato un modo per nascondere le sue attività dannose ai meccanismi di protezione basati su host.

La Microsoft ha recentemente scoperto che il gruppo in questione sta sfruttando la tecnologia over-LAN (SOL) di Active Management Technology (AMT) di Intel come strumento di trasferimento dei file, per rubare dati dai pc vittima senza essere rilevati.

I set di chip Intel sono dotati di una tecnologia embedded denominata AMT, progettata per consentire agli amministratori IT di gestire e riparare in remoto i PC, le workstation e i server delle loro organizzazioni.

La tecnologia Intel AMT funziona indipendentemente dal sistema operativo e funziona anche quando il sistema è spento, a condizione che la piattaforma sia collegata ad una linea di alimentazione e ad un cavo di rete.

Ciò significa che, quando l’AMT è abilitato, qualsiasi pacchetto inviato alla porta di rete cablata del PC verrà reindirizzato al motore di gestione e passato a AMT – il sistema operativo e le applicazioni di monitoraggio di rete installate in un sistema non sanno mai cosa sta succedendo.

Inoltre, i sistemi Linux con chip Intel e AMT abilitati possono anche essere esposti a malware di Platinum.

“Poiché questo processore incorporato è separato dal processore Intel principale, può essere eseguito anche quando il processore principale viene spento e quindi è in grado di fornire funzionalità di amministrazione remota fuori banda (OOB), come il ciclo di ricarica remoto e il controllo di tastiera, video e mouse (KVM) “, ha dichiarato Microsoft.

A differenza del difetto di autenticazione remoto scoperto il mese scorso, che ha permesso agli hacker di assumere il controllo completo di un sistema utilizzando le funzionalità AMT senza bisogno di alcuna password, Platinum non sfrutta alcun difetto in AMT, ma richiede che AMT sia abilitata sui sistemi infetti.

Il gruppo di hacking Platinum ha sfruttato gli zero-day exploits, tecniche di patch hot e altre tattiche avanzate per penetrare nei sistemi e nelle reti dei paesi dell’Europa meridionale, ma questa è la prima volta che qualcuno abusa di strumenti di gestione legittimi per eludere il rilevamento.

Microsoft ha già annunciato di aver aggiornato il proprio software Windows Defender Advanced Threat Protection, il quale avverte gli amministratori di rete di qualsiasi tentativo maligno di utilizzare AMT SOL, ma solo per i sistemi che eseguono sistemi operativi Windows.


    Iscriviti alla newsletter

    Rimani sempre aggiornato sulle ultime news.

    Ai sensi del Regolamento UE n. 2016/679 in materia di Protezione dei Dati Personali. Leggi l'informativa sulla Privacy policy.

    Sei sotto attacco?