Intel AMT используется для передачи сообщений между зараженными ПК

Эксперты компании Microsoft предупредили пользователей о том, что хакеры нашли способ использовать Intel Active Management Technology (Intel AMT) для передачи сообщений между инфицированными системами по корпоративным локальным сетям.

В настоящее время данный метод используется только в атаках на азиатские компании, для успешной атаки нужно заполучить у системных администраторов их учетные данные. Эксперты обращают внимание на то, что данный метод атаки является не является новым вектором, скорее позволяет использовать в киберпреступных целях функцию Serial-over-LAN (SOL).

Для киберпреступников атаки с использованием SOL очень привлекательны, так как функция является независимой от ОС хоста. Они могут быть обнаружены отдельным межсетевым экраном, но не межсетевым экраном на уровне хоста. Встроенный процессор обладает такими возможностями, как включение и выключение для оптимального энергопотребления и KVM даже при выключенном основном процессоре.

SOL может обеспечивать связь по локальной сети при отсутствии физического подключения, и не важно включен сетевой режим на хосте.

Intel Active Management Technology – аппаратная технология, которая предоставляет удаленный и внеполосный доступ (по независимому вспомогательному каналу TCP/IP) для управления настройками и безопасностью компьютера и состояния ОС.

KVM (Kernel-based Virtual Machine) – данная программа обеспечивает виртуализацию в среде Linux на платформе x86, которая поддерживает аппаратную виртуализацию на базе Intel VT (Virtualization Technology) либо AMD SVM (Secure Virtual Machine).