hackEen groep geavanceerde hackers die door Microsoft 'Platinum' wordt genoemd gebruikt technologie van Intel om onzichtbaar op besmette systemen en netwerken te communiceren, zelfs als de netwerkkaart is uitgeschakeld en zonder dat firewalls en netwerkmonitoringstools op het systeem dit kunnen detecteren.

Vorig jaar kwam de hackergroep al in het nieuws vanwege het gebruik van "hotpatching", waarbij er stilletjes code in processen werd geïnjecteerd, zonder dat een proces moest worden herstart. Het was voor het eerst dat deze techniek door aanvallers werd waargenomen en de groep heeft volgens Microsoft een nieuwe primeur, namelijk het gebruik van Intel Active Management Technology (AMT) Serial-over-LAN (SOL) als communicatiekanaal. Dit kanaal werkt onafhankelijk van het besturingssysteem, waardoor alle communicatie die erover gaat onzichtbaar voor firewalls en monitoringstools op de host is. Niet eerder is er malware aangetroffen die AMT SOL gebruikt om te communiceren, aldus Microsoft.

Active Management Technology (AMT) maakt het mogelijk om systemen op afstand te beheren en is een onderdeel van de Intel vPro-processors en -chipsets. Het draait op de Intel Management Engine (ME), die een eigen besturingssysteem draait om op een embedded processor in de chipset te worden uitgevoerd. Aangezien deze embedded processor gescheiden is van de primaire Intel-processor, kan het actief zijn zelfs als de hoofdprocessor is uitgeschakeld. Op deze manier is het ook mogelijk om uitgeschakelde systemen op afstand te beheren.

AMT beschikt over een Serial-over-LAN (SOL) feature die het mogelijk maakt om een virtueel serieel apparaat via tcp aan te sturen. Deze functionaliteit werkt onafhankelijk van het besturingssysteem en de netwerklaag op de computer. De ME maakt namelijk gebruik van een eigen netwerklaag en heeft toegang tot de hardwarematige netwerkinterface. Zelfs als de netwerkkaart op de host staat uitgeschakeld, zal SOL nog steeds functioneren zolang het systeem fysiek met het netwerk is verbonden.

Via deze backdoor, zoals Microsoft het noemt, kunnen de aanvallers onzichtbaar met het systeem communiceren en bestanden kopiëren. In een blogposting over de aanval meldt Microsoft dat het na ontdekking van de backdoor contact heeft opgenomen met Intel en "de twee bedrijven". Dat suggereert dat de techniek bij twee bedrijven werd toegepast. Verder onderzoek wees uit dat de backdoor geen misbruik van kwetsbaarheden in de Intel-technologie maakt, maar AMT SOL binnen al gehackte netwerken gebruikt om beveiligingssoftware te omzeilen. Volgens Microsoft is de backdoor op een "handvol" computers van organisaties in Zuidoost-Azië aangetroffen. In deze video geeft Microsoft een demonstratie van de aanval.

AMT Soll Components Stack

Bron: Security.nl