تستخدم البرامج الضارة ميزة معالجات Intel لسرقة البيانات ومنع جدران الحماية

اكتشف فريق الأمان التابع لـ Microsoft برنامجًا ضارًا جديدًا يستفيد من واجهة Intel Technology Management (AMT) التسلسلية عبر شبكة LAN (SOL) كأداة لنقل الملفات.

نظرًا لتشغيل تقنية Intel AMT SOL ، تتجاوز حركة مرور واجهة SOL شبكات الكمبيوتر المحلية ، لذا لا يمكن لجدران الحماية أو منتجات الأمان المثبتة محليًا اكتشاف البرامج الضارة أو حظرها أثناء إرسال البيانات إلى الخارج.

تكشف Intel AMT SOL عن واجهة شبكة مخفية

يبدو هذا ممكنًا لأن Intel AMT SOL جزء من Intel ME (Management Engine) ، وهو معالج منفصل مدمج في وحدات المعالجة المركزية Intel ، ويدير نظام التشغيل الخاص به.

تعمل Intel ME حتى في حالة إيقاف تشغيل المعالج الرئيسي ، وبينما قد تبدو هذه الميزة غريبة ، قامت Intel بتضمينها لتوفير إمكانات الإدارة عن بُعد للشركات التي تدير شبكات كبيرة من مئات أجهزة الكمبيوتر.

ومع ذلك ، فإن الخبر السار هو أن واجهة Intel AMT SOL معطلة بشكل افتراضي على جميع وحدات المعالجة المركزية من Intel ، لذلك يجب على مالك الكمبيوتر الشخصي أو مسؤول النظام المحلي تمكين هذه الميزة يدويًا. ومع ذلك ، اكتشفت Microsoft برامج ضارة تم إنشاؤها بواسطة مجموعة تجسس إلكترونية تستغل الواجهة لسرقة البيانات من أجهزة الكمبيوتر المصابة.

لم تكشف Microsoft عما إذا كان المتسللون ، الذين ينتمون إلى مجموعة تعرف باسم PLATINUM ، قد وجدوا طريقة سرية لتمكين هذه الميزة على أجهزة الكمبيوتر المصابة ، أو إذا وجدوا ببساطة أنها نشطة وقررت استخدامها.

بالنظر إلى هذه الحقائق ، قالت Microsoft أنها كانت قادرة على تحديد عمل البرامج الضارة وأصدرت تحديثًا لـ Windows Defender ATP من أجل اكتشافه قبل أن تتمكن من الوصول إلى واجهة AMT SOL.