Aggiornamenti recenti Novembre 22nd, 2024 9:00 AM
Giu 09, 2017 Marco Schiaffino In evidenza, Malware, News, RSS 0
Dalla teoria alla pratica: dopo che qualche settimana fa i ricercatori hanno lanciato l’allarme su una vulnerabilità nelle CPU Intel, adesso arriva la notizia che esiste un malware in grado di sfruttare quelle stesse tecnologie per aggirare i controlli dei software antivirus.
Il trojan è stato individuato dai ricercatori di Microsoft e sarebbe impiegato in un’operazione di cyber-spionaggio di altissimo livello che ha preso di mira bersagli nel sud e sud-est dell’Asia.
Il gruppo che ha sviluppato il malware è stato individuato l’anno scorso dagli analisti di Microsoft, che lo hanno battezzato con il nome di Platinum. Utilizza tecniche sofisticate prende di mira principalmente organizzazioni collegate a governi, università e istituti di ricerca.
Gli attacchi avvengono normalmente attraverso tecniche di spear phishing che spesso prendono di mira le email personali delle vittime, che vengono utilizzate come primo punto di accesso per infiltrare le infrastrutture informatiche delle organizzazioni in cui lavorano.
Come spiegano nel loro report del 2016 gli analisti di Microsoft, la particolarità del gruppo Platinum è quella di usare soluzioni tecniche molto elaborate, a partire dall’uso di exploit zero-day e di backdoor sviluppate in proprio.
Ora, però, il gruppo Platinum ha aggiunto una caratteristica che rende i suoi strumenti di spionaggio ancora più insidiosi. Come si legge in un rapporto pubblicato mercoledì sempre da Microsoft, un nuovo trojan utilizzato dal gruppo Platinum è in grado di sfruttare alcune funzioni Active Management Technology (AMT) dei processori Intel per garantirsi un canale di comunicazione verso l’esterno che gli consente di aggirare i controlli dei software di sicurezza.
La tecnologia AMT ha attirato l’attenzione degli esperti di sicurezza il mese scorso, quando Intel ha reso pubblica una vulnerabilità (CVE-2017-5689) che avrebbe consentito di avviare l’esecuzione di codice in remoto sfruttando il sistema di controllo remoto integrato dall’azienda statunitense nei suoi chipset pensati per il mondo enterprise.
La vulnerabilità è considerata particolarmente pericolosa, perché le funzioni AMT nei chipset Intel sono gestite da un processore dedicato (Intel Management Engine) che ha un suo sistema operativo e funziona in maniera parallela al sistema installato sulla macchina. Insomma: la sua attività non può in alcun modo essere controllata da un software di sicurezza.
Il trojan creato dal gruppo Platinum non sfrutta la vulnerabilità scoperta lo scorso maggio per portare i suoi attacchi, ma utilizza l’architettura dei chipset Intel per garantirsi un canale di comunicazione “sicuro” per inviare sottratti al computer compromesso.
A dargliene la possibilità è la presenza di un particolare canale chiamato Serial-over-LAN (SOL), che AMT usa per comunicare con l’esterno per alcune funzioni particolari, come il controllo remoto.
SOL, in pratica, permette di comunicare con l’esterno attraverso un canale parallelo, che “salta” il sistema operativo e di conseguenza non può essere monitorato dai firewall integrati nei programmi di sicurezza.
Per abilitarlo, è necessario avere i privilegi di amministratore e impostare delle credenziali (username e password) che consentono di utilizzare SOL. Tutte operazioni che il malware messo a punto dal gruppo Platinum non ha alcun problema a portare a termine.
Come mostra il video realizzato dai ricercatori Microsoft, SOL può però essere usato anche per installare nuovi malware sul computer compromesso, anche se la scheda di rete è stata disabilitata attraverso le impostazioni del sistema operativo.
L’azienda di Nadella, però, non considera questa tecnica come “insuperabile”. Con gli strumenti corretti sarebbe possibile, infatti, individuare i comportamenti anomali di Active Management Technology e bloccare eventuali comunicazioni tramite SOL.
Nov 15, 2024 0
Nov 07, 2024 0
Ott 30, 2024 0
Ott 10, 2024 0
Nov 22, 2024 0
Nov 21, 2024 0
Nov 21, 2024 0
Nov 20, 2024 0
Nov 22, 2024 0
Secondo una ricerca di F5 Labs, gli attacchi DDoS sono...Nov 21, 2024 0
Google ha annunciato di aver trovato 26 nuove...Nov 14, 2024 0
L’FBI ha lanciato un allarme: stando a un avviso...Nov 13, 2024 0
I ricercatori di Securonix hanno scoperto CRON#TRAP, una...Nov 12, 2024 0
Le minacce APT sono in aumento e in molti casi stanno...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Nov 22, 2024 0
Secondo una ricerca di F5 Labs, gli attacchi DDoS sono...Nov 21, 2024 0
Playlist e podcast sono l’esca ideale per attirare ignari...Nov 21, 2024 0
Google ha annunciato di aver trovato 26 nuove...Nov 20, 2024 0
Una campagna di spionaggio a opera di hacker cinesi ha...Nov 19, 2024 0
I ricercatori di Sekoia hanno individuato una nuova...