Sicurezza

Il trojan evita l’antivirus sfruttando le CPU Intel

Uno degli incubi dei ricercatori di sicurezza è di avere a che fare con un malware che sia in grado di aggirare completamente i sistemi di controllo dei programmi antivirus. L'incubo, ora, si è (quasi) realizzato grazie al gruppo Platinum.

Il gruppo Platinum è un team di pirati informatici specializzato nel cyber-spionaggio che i ricercatori di Microsoft hanno messo nel mirino da più di un anno. Sono cyber-criminali di alto livello, che commerciano in segreti industriali e informazioni riservate rubate a istituti di ricerca e organizzazioni governative.

exploit 768x235
Una delle strategie di attacco usate dal gruppo Platinum riassunte nel report Microsoft del 2016

Secondo Microsoft, che lo scorso anno ha dedicato un intero e dettagliato report all'attività del gruppo, Platinum sarebbe responsabile di una serie di attacchi che avrebbero preso di mira obiettivi in tutta l'Asia utilizzando strumenti di hacking estremamente sofisticati.

La loro ultima trovata è quella di sfruttare le caratteristiche di processori Intel di ultima generazione per equipaggiare i loro trojan con un sistema di comunicazione che è potenzialmente in grado di sfuggire a qualsiasi controllo.

trojan virus 1

A dargli una mano sono le funzioni integrate in Active Management Technology (AMT), un set di strumenti integrati nei chipset Intel dedicati agli ambienti business ed enterprise che vengono gestiti da un processore indipendente.

In particolare, i pirati informatici sfruttano per i loro scopi un canale di collegamento alla rete chiamato SOL (Serial-over-LAN) che i chipset di Intel utilizzano per consentire una serie di funzioni avanzate, come il controllo in remoto del computer all'interno della rete aziendale. SOL, a differenza degli altri protocolli di comunicazione, si interfaccia direttamente con la scheda di rete e non passa per il sistema operativo.

Malware Virus AP Graphic

Risultato: i dati inviati attraverso questo canale non possono essere controllati dai software di sicurezza e, di conseguenza, permettono al trojan del gruppo Platinum di trasmettere informazioni passando del tutto inosservati e di poterlo fare addirittura quando la scheda di rete è disattivata.

Quello del trojan usato dal gruppo Platinum è il primo caso in cui i cyber-criminali sono riusciti a sfruttare una funzione implementata a livello hardware per aggirare i controlli degli antivirus. Secondo i ricercatori di Microsoft, però, in questo caso non si può parlare di una vera falla di sicurezza. La soluzione, quindi, non arriverà attraverso un aggiornamento del firmware delle CPU Intel. L'unica contromisura è quella di dotare i software antivirus di un sistema in grado di rilevare l'uso anomalo degli strumenti di AMT.

Per saperne di più leggi l'articolo completo su Security Info, il sito di Tom's Hardware dedicato alla sicurezza informatica.