Спецпроекты

ПО Безопасность Бизнес Маркет

Трояны научились обходить антивирусы и фаерволлы с помощью технологий Intel

Эксперты по безопасности корпорации Microsoft выявили вредоносное ПО, которое использует малоизвестные функции в чипсетах Intel для обхода антивирусов и фаерволлов. Вредонос использует одна из самых продвинутых хакерских группировок в мире, известная под кодовым названием Platinum.

Потаенный трафик SOL

Исследователи корпорации Microsoft выявили семейство вредоносного ПО, которое использует в качестве средства передачи данных технологию Intel Serial-over-LAN (SOL). Этатехнологияявляетсячастьюинструментария Intel Active Management Technology. Трафик SOL направляется в обход сетевого стека локального компьютера, что делает его невидимым для антивирусного ПО и фаерволлов. Это связано с тем, что SOL является частью Intel Management Engine (ME), фактически отдельного процессора, встроенного в ЦП Intel и работающего под управлением собственной операционной системы.

Intel ME продолжает функционировать даже когда основной процессор отключен, и если компьютер в данный момент имеет соединение с сетями, то существует возможность передачи данных.

Эта функция довольно мало известна, но в целом она была разработана с целью помочь системным администраторам крупных компаний управлять обширным парком пользовательских рабочих станций.

Вредоносное ПО использует технологии Intel для обхода антивирусов и фаерволлов

Active Management Technology обеспечивает функции удаленного администрирования для процессоров с поддержкой технологий Intel vPro. Даже в отключенном состоянии интерфейс AMT SOL позволяет передавать данные по протоколу TCP, что открывает определенные возможности для злоупотреблений.

Функции AMT SOL деактивированы по умолчанию, задействовать их может только системный администратор. Это снижает степень риска. Но в крупных компаниях SOL довольно часто используется по назначению. Зная это, злоумышленники написали код, позволяющий красть данные через SOL.

В Microsoft утверждают, что их решение Windows Defender ATP способно различать легитимный трафик, идущий через AMT SOL, и попытки использовать этот канал для целевых атак.

Самая продвинутая группировка

Эксперты Microsoft утверждают, что за вредоносным ПО, использующим SOL для кражи данных, стоит известная группировка, которая уже несколько лет ведет активную шпионскую деятельность в Южной и Юго-Восточной Азии — Platinum.

Впервые деятельность этой группы была выявлена в 2009 г., и с тех пор успела прославиться множеством изощренных атак. В Microsoft считают, что за Platinum стоит некое государство (но не указывает, какое именно). Во всяком случае, уровень подготовки и материальной оснащенности Platinum заставляют предположить, что это чья-то киберразведка.

В прошлом году эксперты Microsoft обнаружили, что члены Platinum используют собственную технологию Microsoft Hotpatching для установки вредоносного ПО на персональные компьютеры. Возможность этого активно обсуждалась и раньше. Однако никто до сих пор не наблюдал попыток использовать Intel AMT SOL для вывода данных. Хотя в Microsoft не могут сказать определенно, придумали этот метод атаки сами члены Platinum или переняли его у кого-то еще.

«Это типичный пример того, как технология, призванная упрощать жизнь пользователям или системным администраторам, превращается в фактическую уязвимость, — говорит Ксения Шилак, директор по продажам компании SEC-Consult. — И это, на самом деле, скверная новость: если бы использовалась какая-то уязвимость, ее можно было бы исправить. А в данном случае имеет место использование архитектурной особенности».

Роман Георгиев

Короткая ссылка