Хакерская группа Platinum, известная с 2009 года и, вероятно, имеющая высокопоставленных покровителей, взяла на вооружение троянскую программу, базирующуюся на известных лишь в узких кругах функциях материнских плат Intel.
А именно — Active Management Technology, которая была создана для удаленного управления процессорами.
Скрытый трафик.
Даже в неактивном состоянии интерфейс AMT SOL делает возможной передачу данных, чем и пользуются злоумышленники. На руку хакерам играет то, что в исходном состоянии данная технология деактивирована, но сисадмины крупных сетей зачастую держат ее в активном состоянии для оперативного управления ресурсами сети.
По заключению специалистов компании Microsoft, это позволяет хакерам нивелировать работу брандмауэров и антивирусов.
Уязвимость таится в технологии SOL от Intel, являющейся составной частью средств Intel Active Management Technology (AMT). Трафик SOL проходит в обход сетевого стека локального ПК, что исключает его заметность для антивирусного ПО.
Решение проблемы.
Со стороны Microsoft ответом на новую угрозу стало внедрение Windows Defender Advanced Threat Protection (ATP) — технологии, которая может отличать легальный поток данных, проходящий через AMT SOL, от хакерских посягательств. ATP помогает корпоративным клиентам компании выявлять, расследовать и нейтрализовать продвинутые атаки и утечки данных в своих сетях.