Първи по рода си вирус използва вградената в чиповете на Intel технология Active Management Technology, за да краде информация от компютри дори когато те са изключени.
От Майкрософт съобщават, че наскоро са открили престъпна група, която използва технология в чиповете на Intel, за да прониква незабелязано в компютри, да инсталира различен зловреден код и да краде информация.
Престъпната кибер група Platinum, която активно атакува различни правителствени организации и телекомуникационни оператори от 2009-та година насам, е открила начин да използва Serial-over-LAN (SOL) от Active Management Technology (AMT) като инструмент за трансфериране на файлове.
Това им позволява да прескочат защитите незабелязано и по този начин да си осигурят отворени вратички за различен малуер и за техните дейности, без защитната стена да разбере за това.
Чиповете на Intel идват с вградена технология, наречена AMT, която е създадена с цел да помага на IT администраторите да управляват отдалечено компютри, работни станции и сървъри.
Технологията AMT работи независимо от операционната система, която е инсталирана на компютъра и е активна дори когато компютърът е изключен, стига той да има захранване от електрическата мрежа.
Това означава, че когато AMT е активна, всеки един пакет, който е изпратен към мрежови порт на компютъра, ще бъде пренасочен към Management Engine (ME) и допуснат до AMT. При това положение инструментите за наблюдение на трафика и операционната система не засичат нищо подозрително и дори не разбират какво се случва.
Това означава, че не само системите с Windows са податливи на такъв вид проникване, но и всички останали.
От Platinum не използват узвимост в Active Management Technology. Единственото условие за успех е тя да е включена. От Майкрософт отбелязват, че SOL сесията изисква потребителско име и парола и предполагат, че престъпниците използват откраднати данни за вписване, за да направят така, че техният малуер да може да комуникира с C&C сървърите.
Знае се, че от Platinum са използвали zero-day експлойти, техника позната като hot patching и други сложни техники, за да проникнат в атакуваните от тях системи в южноазиатски държави. Използването на AMT обаче отбелязва за пръв път използването на легитимни инструменти за управление, които биват използвани за избягване на защитите.
От Майкрософт казват, че вече са актуализирали Windows Defender, който вече ще уведомява мрежовите администратори при зловредни опити за използване на AMT SOL.