Intel AMT, il controllo remoto preferito dai malware

Un noto gruppo di cyber-criminali sfrutta il sistema di controllo remoto dei processori Intel per gestire i sistemi infetti, scambiare file e rubare dati. Non è una vulnerabilità ma una funzionalità, spiegano i ricercatori
Un noto gruppo di cyber-criminali sfrutta il sistema di controllo remoto dei processori Intel per gestire i sistemi infetti, scambiare file e rubare dati. Non è una vulnerabilità ma una funzionalità, spiegano i ricercatori

Gli esperti di sicurezza di Microsoft hanno identificato l’ennesima operazione di alto profilo a opera di PLATINUM , un gruppo di cyber-criminali particolarmente abili che sfruttano ancora una volta una funzionalità sofisticata per gestire le comunicazioni da e verso i sistemi Windows infetti. Una funzionalità per cui non esiste alcuna patch correttiva.

I criminali di Platinum avevano fatto notizia l’anno scorso per la loro capacità di abusare del meccanismo di hotpatching di Windows , e la loro nuova iniziativa risulta se possibile ancora più pericolosa, visto che prende di mira il sistema per il controllo remoto di Intel noto come Active Management Technology (AMT).

Disponibile per server aziendali e taluni PC desktop, AMT è una sorta di mini-sistema operativo indipendente dall’OS installato sul disco fisso o sull’SSD, un processore secondario sulla motherboard che può essere interpellato da remoto per controllare il sistema con tanto di emulazione di input da mouse, tastiera e porta seriale (serial over LAN o SOL).

Un amministratore di sistema potrebbe legittimamente utilizzare AMT e SOL per accendere e spegnere i terminali di un’azienda, installare un sistema operativo o quant’altro, potendo contare sul fatto che le comunicazioni non possono essere intercettate all’esterno del circuito AMT e risultano quindi indipendenti da un qualsiasi firewall software.

Per quanto riguarda il possibile uso illegittimo di AMT e dei suoi eventuali bug , invece, il gruppo Platinum ne ha dato un esempio piuttosto chiaro nella sua ultima campagna malevola scovata da Microsoft nella regione del sudest asiatico: dopo aver infettato un sistema, i criminali hanno sfruttato le comunicazioni “trasparenti” su AMT-SOL per tenere sotto controllo i PC, scambiare file e altro ancora.

Un componente integrato come AMT non può essere rimosso con facilità ma, per la fortuna di consumatori e aziende, l’abuso delle comunicazioni SOL necessita sia dell’abilitazione della funzionalità che del furto delle credenziali di accesso a opera di un malware come quello usato da Platinum.

Alfonso Maruccia

Link copiato negli appunti

Ti potrebbe interessare

12 06 2017
Link copiato negli appunti