Aggiornamenti recenti Aprile 23rd, 2024 9:15 AM
Giu 09, 2017 Marco Schiaffino In evidenza, Malware, News, RSS 0
Dalla teoria alla pratica: dopo che qualche settimana fa i ricercatori hanno lanciato l’allarme su una vulnerabilità nelle CPU Intel, adesso arriva la notizia che esiste un malware in grado di sfruttare quelle stesse tecnologie per aggirare i controlli dei software antivirus.
Il trojan è stato individuato dai ricercatori di Microsoft e sarebbe impiegato in un’operazione di cyber-spionaggio di altissimo livello che ha preso di mira bersagli nel sud e sud-est dell’Asia.
Il gruppo che ha sviluppato il malware è stato individuato l’anno scorso dagli analisti di Microsoft, che lo hanno battezzato con il nome di Platinum. Utilizza tecniche sofisticate prende di mira principalmente organizzazioni collegate a governi, università e istituti di ricerca.
Gli attacchi avvengono normalmente attraverso tecniche di spear phishing che spesso prendono di mira le email personali delle vittime, che vengono utilizzate come primo punto di accesso per infiltrare le infrastrutture informatiche delle organizzazioni in cui lavorano.
Come spiegano nel loro report del 2016 gli analisti di Microsoft, la particolarità del gruppo Platinum è quella di usare soluzioni tecniche molto elaborate, a partire dall’uso di exploit zero-day e di backdoor sviluppate in proprio.
Ora, però, il gruppo Platinum ha aggiunto una caratteristica che rende i suoi strumenti di spionaggio ancora più insidiosi. Come si legge in un rapporto pubblicato mercoledì sempre da Microsoft, un nuovo trojan utilizzato dal gruppo Platinum è in grado di sfruttare alcune funzioni Active Management Technology (AMT) dei processori Intel per garantirsi un canale di comunicazione verso l’esterno che gli consente di aggirare i controlli dei software di sicurezza.
La tecnologia AMT ha attirato l’attenzione degli esperti di sicurezza il mese scorso, quando Intel ha reso pubblica una vulnerabilità (CVE-2017-5689) che avrebbe consentito di avviare l’esecuzione di codice in remoto sfruttando il sistema di controllo remoto integrato dall’azienda statunitense nei suoi chipset pensati per il mondo enterprise.
La vulnerabilità è considerata particolarmente pericolosa, perché le funzioni AMT nei chipset Intel sono gestite da un processore dedicato (Intel Management Engine) che ha un suo sistema operativo e funziona in maniera parallela al sistema installato sulla macchina. Insomma: la sua attività non può in alcun modo essere controllata da un software di sicurezza.
Il trojan creato dal gruppo Platinum non sfrutta la vulnerabilità scoperta lo scorso maggio per portare i suoi attacchi, ma utilizza l’architettura dei chipset Intel per garantirsi un canale di comunicazione “sicuro” per inviare sottratti al computer compromesso.
A dargliene la possibilità è la presenza di un particolare canale chiamato Serial-over-LAN (SOL), che AMT usa per comunicare con l’esterno per alcune funzioni particolari, come il controllo remoto.
SOL, in pratica, permette di comunicare con l’esterno attraverso un canale parallelo, che “salta” il sistema operativo e di conseguenza non può essere monitorato dai firewall integrati nei programmi di sicurezza.
Per abilitarlo, è necessario avere i privilegi di amministratore e impostare delle credenziali (username e password) che consentono di utilizzare SOL. Tutte operazioni che il malware messo a punto dal gruppo Platinum non ha alcun problema a portare a termine.
Come mostra il video realizzato dai ricercatori Microsoft, SOL può però essere usato anche per installare nuovi malware sul computer compromesso, anche se la scheda di rete è stata disabilitata attraverso le impostazioni del sistema operativo.
L’azienda di Nadella, però, non considera questa tecnica come “insuperabile”. Con gli strumenti corretti sarebbe possibile, infatti, individuare i comportamenti anomali di Active Management Technology e bloccare eventuali comunicazioni tramite SOL.
Apr 17, 2024 0
Apr 10, 2024 0
Mar 14, 2024 0
Mar 01, 2024 0
Apr 23, 2024 0
Apr 22, 2024 0
Apr 22, 2024 0
Apr 22, 2024 0
Apr 18, 2024 0
La corsa all’IA generativa ha spinto i produttori di...Apr 16, 2024 0
LockBit continua a colpire le organizzazioni di tutto il...Apr 15, 2024 0
Il 41% delle imprese italiane subisce mensilmente attacchi...Apr 12, 2024 0
In occasione del Privacy Tour 2024, l’iniziativa del...Apr 12, 2024 0
Al Google Next ’24 abbiamo assistito a un interessante...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Apr 23, 2024 0
Un team di ricercatori ha sviluppato quello che ritengono...Apr 22, 2024 0
Nel periodo compreso tra il 13 e il 19 aprile,...Apr 22, 2024 0
I cyber attacchi moderni riescono a colpire anche le...Apr 22, 2024 0
Il JPCERT Coordination Center, l’organizzazione...Apr 22, 2024 0
Akira ha colpito più di 250 organizzazioni in tutto il...