Platinum: ecco il nome del gruppo di cyberspionaggio che ha “creato” questo metodo dove è possibile rubare dati utilizzando il canale usato dalla tecnologia Intel Active Management Tecnology (AMT) Serial Over Lan (SOL) per sottrarre dati senza esser visti o bloccati da firewall o antivirus.
Per capire come può accadere una cosa simile, è opportuno comprendere come funziona questa tecnologia.
L’AMT è una caratteristica fornita con i processori/chipest Intel vPro e permette la gestione remota dei device, esso lavora all’interno dell’IME (Intel Management Engine) il quale lavora con un processore embedded situato nel chipset, quindi totalmente svincolato dal processore, cosa che gli permette di “lavorare” anche quando quest’ultimo è off-line.
Inoltre permette l’interazione con mouse, tastiera e monitor offrendo funzionalità di amministrazione remota, infatti l’AMT SOL espone un device virtuale tramite un canale del chipset con annessa porta TCP.
Quindi utilizzando questo canale si esclude totalmente il sistema operativo, eludendo quindi controllo di Firewall o antivirus installati nel sistema operativo. Microsoft riporta che il nuovo Windows Defender ATP riporta nella console di gestione tutti i tentativi di accesso eseguiti tramite questo canale, riportando alert dedicati agli eventi e dando il tempo di intervenire.
Di seguito un video pubblicato da Microsoft che mostra il metodo sopra descritto:
Per approfondimenti consultare questo articolo