Malware menggunakan fitur prosesor Intel untuk mencuri data dan mencegah firewall

Tim keamanan Microsoft telah menemukan malware baru yang memanfaatkan antarmuka Intel Active Management Technology (AMT) Serial-over-LAN (SOL) sebagai alat transfer file.

Karena operasi teknologi Intel AMT SOL, lalu lintas antarmuka SOL memintas jaringan komputer lokal, sehingga firewall yang dipasang secara lokal atau produk keamanan tidak dapat mendeteksi atau memblokir malware saat mengirim data ke luar negeri.

Intel AMT SOL memperlihatkan antarmuka jaringan yang tersembunyi

Hal ini tampaknya dimungkinkan karena Intel AMT SOL adalah bagian dari Intel ME (Management Engine), prosesor terpisah yang terpasang pada CPU Intel, dan menjalankan sistem operasinya sendiri.

Intel ME berjalan bahkan ketika prosesor utama mati, dan sementara fitur ini mungkin tampak aneh, Intel menggabungkannya untuk memberikan kemampuan manajemen jarak jauh kepada perusahaan yang mengelola jaringan besar ratusan komputer.

Namun, kabar baiknya adalah bahwa antarmuka Intel AMT SOL dinonaktifkan secara default pada semua CPU Intel, sehingga pemilik PC atau administrator sistem lokal harus mengaktifkan fitur ini secara manual. Namun, Microsoft telah menemukan malware yang dibuat oleh kelompok spionase dunia maya yang memanfaatkan antarmuka untuk mencuri data dari komputer yang terinfeksi.

Microsoft tidak mengungkapkan apakah peretas, yang termasuk dalam kelompok yang dikenal sebagai PLATINUM, telah menemukan cara rahasia untuk mengaktifkan fitur ini pada komputer yang terinfeksi, atau jika mereka hanya menemukan itu aktif dan memutuskan untuk menggunakannya.

Dengan fakta-fakta ini, Microsoft mengatakan bahwa ia dapat mengidentifikasi malware yang berfungsi dan merilis pembaruan untuk Windows Defender ATP untuk mendeteksinya sebelum ia mendapatkan akses ke antarmuka AMT SOL.