มัลแวร์ใช้คุณสมบัติของโปรเซสเซอร์ของ Intel เพื่อขโมยข้อมูลและป้องกันไฟร์วอลล์

ทีมรักษาความปลอดภัยของ Microsoft ค้นพบ มัลแวร์ใหม่ที่ใช้ประโยชน์จากเทคโนโลยีการจัดการ Active ของ Intel (AMT) อินเตอร์เฟส Serial-over-LAN (SOL) เป็นเครื่องมือถ่ายโอนไฟล์

เนื่องจากการทำงานของ เทคโนโลยี Intel AMT SOL การรับส่งข้อมูลทางอินเตอร์เฟซของ SOL จะข้ามเครือข่ายคอมพิวเตอร์ในพื้นที่ดังนั้นไฟร์วอลล์หรือผลิตภัณฑ์ด้านความปลอดภัยที่ติดตั้งในเครื่องจึงไม่สามารถตรวจจับหรือปิดกั้นมัลแวร์ในขณะที่ส่งข้อมูลไปต่างประเทศ

Intel AMT SOL เผยถึงส่วนต่อประสานเครือข่ายที่ซ่อนอยู่

สิ่งนี้ดูเหมือนจะเป็นไปได้เพราะ Intel AMT SOL เป็นส่วนหนึ่งของ Intel ME (Management Engine) ซึ่งเป็นโปรเซสเซอร์ที่แยกต่างหากซึ่งสร้างขึ้นใน CPU ของ Intel และใช้งานระบบปฏิบัติการของตัวเอง

Intel ME ทำงานแม้ว่าตัวประมวลผลหลักจะปิดอยู่และในขณะที่คุณสมบัตินี้อาจดูแปลก แต่ Intel ก็รวมไว้เพื่อมอบความสามารถในการจัดการระยะไกลให้กับ บริษัท ที่จัดการเครือข่ายขนาดใหญ่ของคอมพิวเตอร์หลายร้อยเครื่อง

อย่างไรก็ตามข่าวดีคืออินเทอร์เฟซ Intel AMT SOL ถูกปิดใช้งานตามค่าเริ่มต้นใน CPU ของ Intel ทั้งหมด ดังนั้นเจ้าของพีซีหรือผู้ดูแลระบบภายในจะต้องเปิดใช้งานคุณสมบัตินี้ด้วยตนเอง อย่างไรก็ตาม Microsoft ได้ค้นพบมัลแวร์ที่สร้างขึ้นโดยกลุ่มจารกรรมไซเบอร์ซึ่งใช้ประโยชน์จากอินเทอร์เฟซเพื่อขโมยข้อมูลจากคอมพิวเตอร์ที่ติดไวรัส

Microsoft ไม่เปิดเผยว่าแฮ็กเกอร์ที่เป็นของกลุ่มที่รู้จักกันในชื่อ PLATINUM ได้ค้นพบวิธีลับในการเปิดใช้งานคุณลักษณะนี้ในคอมพิวเตอร์ที่ติดเชื้อหรือไม่หรือหากพวกเขาพบว่ามันทำงานอยู่และตัดสินใจใช้งาน

จากข้อเท็จจริงเหล่านี้ Microsoft กล่าวว่าสามารถระบุการทำงานของมัลแวร์และออกการ ปรับปรุงสำหรับ Windows Defender ATP เพื่อตรวจสอบก่อนที่จะเข้าใช้งานอินเทอร์เฟซ AMT SOL