Un trojan usa le tecnologie Intel per aggirare il firewall

Giu 09, 2017 Marco Schiaffino In evidenza, Malware, News, RSS 0

Il malware sfrutta alcune funzioni avanzate dei chipset Intel per comunicare via Internet aggirando i software di sicurezza.

Dalla teoria alla pratica: dopo che qualche settimana fa i ricercatori hanno lanciato l’allarme su una vulnerabilità nelle CPU Intel, adesso arriva la notizia che esiste un malware in grado di sfruttare quelle stesse tecnologie per aggirare i controlli dei software antivirus.

Il trojan è stato individuato dai ricercatori di Microsoft e sarebbe impiegato in un’operazione di cyber-spionaggio di altissimo livello che ha preso di mira bersagli nel sud e sud-est dell’Asia.

Il gruppo che ha sviluppato il malware è stato individuato l’anno scorso dagli analisti di Microsoft, che lo hanno battezzato con il nome di Platinum. Utilizza tecniche sofisticate prende di mira principalmente organizzazioni collegate a governi, università e istituti di ricerca.

Gli attacchi avvengono normalmente attraverso tecniche di spear phishing che spesso prendono di mira le email personali delle vittime, che vengono utilizzate come primo punto di accesso per infiltrare le infrastrutture informatiche delle organizzazioni in cui lavorano.

Come spiegano nel loro report del 2016 gli analisti di Microsoft, la particolarità del gruppo Platinum è quella di usare soluzioni tecniche molto elaborate, a partire dall’uso di exploit zero-day e di backdoor sviluppate in proprio.

Una delle strategie di attacco usate dal gruppo Platinum riassunte nel report Microsoft del 2016.

Ora, però, il gruppo Platinum ha aggiunto una caratteristica che rende i suoi strumenti di spionaggio ancora più insidiosi. Come si legge in un rapporto pubblicato mercoledì sempre da Microsoft, un nuovo trojan utilizzato dal gruppo Platinum è in grado di sfruttare alcune funzioni Active Management Technology (AMT) dei processori Intel per garantirsi un canale di comunicazione verso l’esterno che gli consente di aggirare i controlli dei software di sicurezza.

La tecnologia AMT ha attirato l’attenzione degli esperti di sicurezza il mese scorso, quando Intel ha reso pubblica una vulnerabilità (CVE-2017-5689) che avrebbe consentito di avviare l’esecuzione di codice in remoto sfruttando il sistema di controllo remoto integrato dall’azienda statunitense nei suoi chipset pensati per il mondo enterprise.

La vulnerabilità è considerata particolarmente pericolosa, perché le funzioni AMT nei chipset Intel sono gestite da un processore dedicato (Intel Management Engine) che ha un suo sistema operativo e funziona in maniera parallela al sistema installato sulla macchina. Insomma: la sua attività non può in alcun modo essere controllata da un software di sicurezza.

Il trojan creato dal gruppo Platinum non sfrutta la vulnerabilità scoperta lo scorso maggio per portare i suoi attacchi, ma utilizza l’architettura dei chipset Intel per garantirsi un canale di comunicazione “sicuro” per inviare sottratti al computer compromesso.

A dargliene la possibilità è la presenza di un particolare canale chiamato Serial-over-LAN (SOL), che AMT usa per comunicare con l’esterno per alcune funzioni particolari, come il controllo remoto.

Il canale Serial-over-LAN permette di accedere alla rete senza “passare” dal sistema operativo. L’ideale per un malware che vuole passare inosservato.

SOL, in pratica, permette di comunicare con l’esterno attraverso un canale parallelo, che “salta” il sistema operativo e di conseguenza non può essere monitorato dai firewall integrati nei programmi di sicurezza.

Per abilitarlo, è necessario avere i privilegi di amministratore e impostare delle credenziali (username e password) che consentono di utilizzare SOL. Tutte operazioni che il malware messo a punto dal gruppo Platinum non ha alcun problema a portare a termine.

Come mostra il video realizzato dai ricercatori Microsoft, SOL può però essere usato anche per installare nuovi malware sul computer compromesso, anche se la scheda di rete è stata disabilitata attraverso le impostazioni del sistema operativo.

L’azienda di Nadella, però, non considera questa tecnica come “insuperabile”. Con gli strumenti corretti sarebbe possibile, infatti, individuare i comportamenti anomali di Active Management Technology e bloccare eventuali comunicazioni tramite SOL.

Condividi l'articolo