سوء‌استفاده از ویژگی‌ مدیریتیِ پردازنده‌های اینتل در حملات سایبری برای اولین بار

چه چیزی ترسناک‌تر از این است که دیگر نتوانیم به سخت‌افزار هم اعتماد کنیم؟
مهاجمان سایبری با سوء‌استفاده از ویژگی‌های تعبیه شده در پردازنده‌های اینتل، حملات بسیار پیش‌رفته‌ای را علیه کشورهای جنوب شرقی آسیا راه‌اندازی کرده‌اند.
مایکروسافت روز گذشته با انتشار یک گزارش فنی در مورد گروه‌ی نفوذ Platinum، جزییاتی را ارائه کرد که بسیاری از قابلیت‌های این گروه را فاش می‌کند.
در آوریل سال گذشته‌ی میلادی (اردی‌بهشت ماه ۱۳۹۵)، مایکروسافت با انتشار گزارشی در مورد گروه نفوذ Platinum هشدار داد که این گروه با سوء‌استفاده از ویژگی‌ موجود در کارگزارهای ویندوز ۲۰۰۳ به نام Hotpatching (این ویژگی در نسخه‌های بعدی کارگزار ویندوز یعنی نسخه‌های ۲۰۰۸ به بعد حذف شده است) موفق به تزریق کد مخرب به فرآیندهای در حال اجرا شده و به این ترتیب منجر به آلودگی گسترده کارگزاهای ویندوزی در کشورهای جنوب شرق آسیا شده است. اغلب اهداف این گروه‌ها بسیار هدفمند بوده و شامل مراکز دولتی، پیمان‌کاران دفاعی، مراکز اطلاعاتی و البته مراکز حساس مانند صنایع مرتبط با ارتباطات راه دور و مخابرات بوده است.

 

اما اکنون مایکروسافت می‌گوید،‌گروه بسیار پیش‌رفته‌ی Platinum‌ یک ابزار انتقال پرونده دارد که از فناوری مدیریت پویا در اینتل به نام 1AMT، به‌خصوص از کانال ارتباط 2SOL (انتقال داده‌ی سریال در بستر LAN) بهره می‌برد تا کدهای آلوده به ماشین‌های هدف منتقل شوند. به گفته‌ی مایکروسافت و اینتل این اولین بار است که یک گروه حملات پیش‌رفته‌ی مداوم یا APT از پردازنده‌های اینتل به این شکل سوء‌استفاده می‌کنند.
به گفته‌ی مایکروسافت: «این کانال ارتباطی مستقل از سامانه‌عامل کار می‌کند و هر نوع ارتباطی که از راه این کانال انجام می‌شود از دید دیواره‌ی آتش و برنامه‌های نظارتیِ در خود ماشین مخفی است. تا قبل از این، هیچ نوع بدافزاری از این ویژگی بهره نبرده است.»

 

مایکروسافت گزارش یافته‌های خود را در اختیار اینتل قرار داده است؛ اینتل اعلام کرده است که سوء‌استفاده از ویژگی AMT به این معنی نیست که پردازنده‌های اینتل آسیب‌پذیر هستند و مجرمان سایبری صرفاً از این ویژگی سوء‌استفاده کرده‌اند. البته تعدادی آسیب‌پذیریِ افزایش سطح دسترسی در ابتدای ماه جاری در AMT وصله شده بود.
تنها نکته‌ی مثبت در گزارش مایکروسافت این است که ویژگی AMT به صورت پیش‌فرض غیرفعال است و برای فعال کردن آن نیاز به دست‌رسی مدیر سامانه می‌باشد. اما هنوز مشخص نیست که گروه Platinum‌ از این ویژگی در ماشین‌هایی استفاده کرده قبلاً AMT در آن‌ها فعال بوده یا روشی یافته است که این ویژگی را بدون دردسر فعال نماید.
ویژگی AMT در پردازنده‌های vPro اینتل وجود دارد و برای مدیریت راه دور مورد استفاده قرار می‌گیرد. به طور خاص کانال SOL یک کانال سریال مجازی روی پروتکل TCP است که مستقل از سامانه‌عامل و شبکه‌ای که ماشین از آن بهره می‌برد، کار می‌کند. به همین دلیل این کانال از راه دیواره‌ی آتش و محصولات ضدبدافزاری در ماشین قابل شناسایی و مسدود شدن نیست.

 

نفوذگران Platinum‌ دست‌کم از سال ۲۰۰۹ در کشورهای جنوب شرق آسیا فعال هستند و مانند بسیاری دیگر از گروه‌های APT به کمک حملات فیشینگِ هدفمند وارد شبکه‌ی قربانیان شده و سپس به نصب بدافزارهای پیش‌رفته اقدام کرده‌اند.

  • 1. Intel Active Management Technology
  • 2. Serial-over-LAN
0
هنوز هیچ ستاره‌ای موجود نیست.

افزودن یک دیدگاه جدید