Microsoft heeft een nieuwe techniek ontdekt die is gebruikt door de hackergroep Platinum. Deze maakt gebruik van Intels Active Management Technology, die aanwezig is in chipsets en cpu's. Via de serial-over-lan-functionaliteit is het mogelijk om netwerkverkeer te verbergen.
Volgens Microsoft is dit de eerste keer dat malware is ontdekt die deze manier van communicatie gebruikt. De methode maakt het mogelijk om onafhankelijk van het besturingssysteem te communiceren en het netwerkverkeer te verbergen voor firewalls en applicaties op de host die netwerkverkeer in de gaten houdt. Microsoft heeft samen met Intel naar de gebruikte methode gekeken en de bedrijven concluderen dat er geen sprake is van een kwetsbaarheid, maar van misbruik van een feature door een aanvaller die al toegang heeft tot een netwerk. Platinum gebruikte de methode als manier om bestanden over te brengen.
De serial-over-lan-functie is niet standaard ingeschakeld en vereist beheerderstoegang met de juiste inloggegevens voor gebruik op werkstations. Microsoft meldt dat het onduidelijk is hoe en of de Platinum-groep de functie heeft ingeschakeld, maar zegt dat de aanvallers hoe dan ook beheerderstoegang nodig hadden. Voor de methode is niet vereist dat de netwerkkaart van een systeem is ingeschakeld; er moet alleen een fysieke netwerkverbinding aanwezig zijn.
Microsoft legt uit dat de Active Management Technology, oftewel AMT, onder meer aanwezig is op Intel-vPro-cpu's en -chipsets. De feature wordt gebruikt om een systeem op afstand te beheren. AMT is onderdeel van de Management Engine, die draait op een aparte processor in de chipset. De aparte processor werkt los van de cpu zelf en is daarom toegankelijk als deze is uitgeschakeld. De processor biedt functies als het opnieuw opstarten van een systeem en biedt toegang tot toetsenbord, muis en beeld. De serial-over-lan-functie is op zijn beurt weer onderdeel van AMT en biedt een communicatiekanaal via tcp.
Volgens eerder Microsoft-onderzoek is Platinum een groep die zich richt op de regio Zuid- en Zuidoost-Azië. De in 2009 ontdekte groep maakte al eerder gebruik van geavanceerde technieken, zoals hotpatching, voor het infecteren van systemen. Uit de huidige analyse van Microsoft blijkt dat Platinum de methode op een klein aantal systemen in de regio heeft toegepast.
Microsoft-video met uitleg