Intel AMT, il controllo remoto preferito dai malware

Un noto gruppo di cyber-criminali sfrutta il sistema di controllo remoto dei processori Intel per gestire i sistemi infetti, scambiare file e rubare dati. Non è una vulnerabilità ma una funzionalità, spiegano i ricercatori

Roma – Gli esperti di sicurezza di Microsoft hanno identificato l’ennesima operazione di alto profilo a opera di PLATINUM , un gruppo di cyber-criminali particolarmente abili che sfruttano ancora una volta una funzionalità sofisticata per gestire le comunicazioni da e verso i sistemi Windows infetti. Una funzionalità per cui non esiste alcuna patch correttiva.

I criminali di Platinum avevano fatto notizia l’anno scorso per la loro capacità di abusare del meccanismo di hotpatching di Windows , e la loro nuova iniziativa risulta se possibile ancora più pericolosa, visto che prende di mira il sistema per il controllo remoto di Intel noto come Active Management Technology (AMT).

Disponibile per server aziendali e taluni PC desktop, AMT è una sorta di mini-sistema operativo indipendente dall’OS installato sul disco fisso o sull’SSD, un processore secondario sulla motherboard che può essere interpellato da remoto per controllare il sistema con tanto di emulazione di input da mouse, tastiera e porta seriale (serial over LAN o SOL).

Un amministratore di sistema potrebbe legittimamente utilizzare AMT e SOL per accendere e spegnere i terminali di un’azienda, installare un sistema operativo o quant’altro, potendo contare sul fatto che le comunicazioni non possono essere intercettate all’esterno del circuito AMT e risultano quindi indipendenti da un qualsiasi firewall software.

Per quanto riguarda il possibile uso illegittimo di AMT e dei suoi eventuali bug , invece, il gruppo Platinum ne ha dato un esempio piuttosto chiaro nella sua ultima campagna malevola scovata da Microsoft nella regione del sudest asiatico: dopo aver infettato un sistema, i criminali hanno sfruttato le comunicazioni “trasparenti” su AMT-SOL per tenere sotto controllo i PC, scambiare file e altro ancora.

Un componente integrato come AMT non può essere rimosso con facilità ma, per la fortuna di consumatori e aziende, l’abuso delle comunicazioni SOL necessita sia dell’abilitazione della funzionalità che del furto delle credenziali di accesso a opera di un malware come quello usato da Platinum.

Alfonso Maruccia

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Skynet scrive:
    Paura, eh?
    Neanche un commento. :-o Dalle intelligenze naturali qua non ci si può aspettare altro. Meno male che almeno i giappi pensano sempre ai robot (cylon)
    • Schiavo della patata scrive:
      Re: Paura, eh?
      la priorità sono1 la patata2 la patata3 la patata4 la patata5 la patata
    • iRoby scrive:
      Re: Paura, eh?
      Credo che il futuro sarà delineato da silicon valley e i big dell'IT.Questo a discapito dei lavoratori è ovvio.Ma credo che questi ultimi con gli inutili sindacati, invece che frignare dovrebbero cercare soluzioni insieme con l'industria tecnologica.Lascio da parte per un attimo il discorso privacy, assistenti virtuali spioni e profilatori, e parlo di robotica pervasiva che toglie lavori anche a chi sta allo sportello. A chi fa l'autista, il medico, ecc.La base è tutta monetaria, e bisogna prima di tutto togliere alle élite gli strumenti monetari, e gli investimenti per togliere il lavoro con AI e robotica, vanno coadiuvati da una ridefinizione della società. Dove un reddito minimo garantito, o del lavoro minore ma garantito anche'esso e che lasci una vita dignitosa nonostante le poche ore lavorate, sono necessari.I robot possono aiutare anche nel terzo mondo. Dove sgravano dal lavoro gli africani e gli permettono di costruire con facilità case, strade, canali, fogne ecc.-----------------------------------------------------------Modificato dall' autore il 12 giugno 2017 13.29-----------------------------------------------------------
Chiudi i commenti