Microsoft scopre metodo usato per rubare dati bypassando il firewall e antivirus

Platinum: ecco il nome del gruppo di cyberspionaggio che ha “creato” questo metodo dove è possibile rubare dati utilizzando il canale usato dalla tecnologia Intel Active Management Tecnology (AMT) Serial Over Lan (SOL) per sottrarre dati senza esser visti o bloccati da firewall o antivirus.
Cyber%2Bsecurity - Microsoft scopre metodo usato per rubare dati bypassando il firewall e antivirus

Per capire come può accadere una cosa simile, è opportuno comprendere come funziona questa tecnologia. 


Cos’è e come funziona il canale di comunicazione AMT Serial Over Lan

L’AMT è una caratteristica fornita con i processori/chipest Intel vPro e permette la gestione remota dei device, esso lavora all’interno dell’IME (Intel Management Engine) il quale lavora con un processore embedded situato nel chipset, quindi totalmente svincolato dal processore, cosa che gli permette di “lavorare” anche quando quest’ultimo è off-line. 

3 AMT SOL component stack - Microsoft scopre metodo usato per rubare dati bypassando il firewall e antivirus
Fonte: PLATINUM continues to evolve, find ways to maintain invisibility – Windows Security

Inoltre permette l’interazione con mouse, tastiera e monitor offrendo funzionalità di amministrazione remota, infatti l’AMT SOL espone un device virtuale tramite un canale del chipset con annessa porta TCP.

Quindi utilizzando questo canale si esclude totalmente il sistema operativo, eludendo quindi controllo di Firewall o antivirus installati nel sistema operativo. Microsoft riporta che il nuovo Windows Defender ATP riporta nella console di gestione tutti i tentativi di accesso eseguiti tramite questo canale, riportando alert dedicati agli eventi e dando il tempo di intervenire. 
Di seguito un video pubblicato da Microsoft che mostra il metodo sopra descritto:

Per approfondimenti consultare questo articolo

(Visited 12 times, 1 visits today)