Phần mềm độc hại sử dụng một tính năng của bộ xử lý Intel để đánh cắp dữ liệu và ngăn chặn tường lửa

Nhóm bảo mật của Microsoft đã phát hiện ra một phần mềm độc hại mới tận dụng giao diện Nối tiếp qua mạng LAN (SOL) của Công nghệ quản lý hoạt động (AMT) của Intel làm công cụ chuyển tệp.

Do hoạt động của công nghệ Intel AMT SOL, lưu lượng giao diện SOL bỏ qua các mạng máy tính cục bộ, do đó tường lửa hoặc các sản phẩm bảo mật được cài đặt cục bộ không thể phát hiện hoặc chặn phần mềm độc hại trong khi gửi dữ liệu ra nước ngoài.

Intel AMT SOL trưng bày giao diện mạng ẩn

Điều này dường như là có thể bởi vì Intel AMT SOL là một phần của Intel ME (Bộ máy quản lý), một bộ xử lý riêng được tích hợp trong CPU của Intel và chạy hệ điều hành riêng của nó.

Intel ME chạy ngay cả khi bộ xử lý chính bị tắt và trong khi tính năng này có vẻ kỳ lạ, Intel đã kết hợp nó để cung cấp khả năng quản lý từ xa cho các công ty quản lý mạng lớn hàng trăm máy tính.

Tuy nhiên, tin tốt là giao diện Intel AMT SOL bị tắt theo mặc định trên tất cả các CPU Intel, vì vậy chủ sở hữu PC hoặc quản trị viên hệ thống cục bộ phải bật thủ công tính năng này. Tuy nhiên, Microsoft đã phát hiện ra phần mềm độc hại được tạo bởi một nhóm gián điệp mạng, lợi dụng giao diện để đánh cắp dữ liệu từ các máy tính bị nhiễm.

Microsoft không tiết lộ liệu các tin tặc, thuộc một nhóm được gọi là PLATINUM, đã tìm thấy một cách bí mật để kích hoạt tính năng này trên các máy tính bị nhiễm hay chỉ đơn giản là chúng thấy nó hoạt động và quyết định sử dụng nó.

Trước những sự thật này, Microsoft cho biết họ có thể xác định phần mềm độc hại đang hoạt động và phát hành bản cập nhật cho Windows Defender ATP để phát hiện ra nó trước khi có quyền truy cập vào giao diện AMT SOL.