Platinum-Hackergruppe greift Systeme über Intel AMT an

Noch ein kurzer Hinweis für Anwender, die Systeme mit Intels Active Management Technology (AMT) verwenden. Eine Hackergruppe mit dem Namen Platinum nutzt ein AMT-Feature aus, um in Asien gezielt Systeme per Ethernet anzugreifen.


Anzeige

Platinum File-Transfer-Tool

Microsoft berichtet im Beitrag PLATINUM continues to evolve, find ways to maintain invisibility, dass die Hackergruppe Plantinum Systeme in Asien angreift. Kürzlich ist man auf einen neuen Angriffsansatz gestoßen. Mit dem von der Gruppe entwickelten File-Fransfer Tool versucht man den Intel® Active Management Technology (AMT) Serial-over-LAN (SOL)-Kommunikationskanal zu nutzen, um Dateien unbeobachtet von den Systemen abzuziehen. Denn dieser SOL-Kommunikationskanal arbeitet unabhängig vom Betriebssystem und der Datenverkehr wird weder von den Firewalls noch von den Netzwerküberwachungsfunktionen überprüft.

Active Management Technology (AMT)

Die Active Management Technology (AMT) ist ein Feature von Intel® vPro™ Prozessoren und Chipsets und ermöglicht eine Remote-Verwaltung von Geräten. AMT wird in der Intel Management Engine (ME) ausgeführt. Diese ME verwendet ein eigenes Betriebssystem, welches auf den Chipsets in eigenen Prozessoren ausgeführt wird.

Das Thema war erst Anfang Mai 2017 hier im Blog (siehe Kritischer Bug in Intel Plattformen, Patch für Exploit verfügbar und Neue Details zu Intels AMT/ME Sicherheitslücken), weil Intel eingestehen musste, dass eine gravierende Sicherheitslücke in der Firmware existiert. Leider werden diese Sicherheitslücken auf einige Boards wohl ungepatcht bleiben.

AMT Serial-over-LAN (SOL)

Intels AMT enthält ein Serial-over-LAN (SOL)-Feature, welches ein virtuelles serielles Gerät mit einem vom Chipset bereitgestellten Kommunikationskanal über TCP vorhält.

(Quelle: Microsoft)

Dieses Feature ist unabhängig vom Betriebssystem. Die Management Engine (ME) verwendet einen eigenen Netzwerkstack mit Zugriff auf die Netzwerkadapter der Hardware. Bedeutet: Selbst wenn jemand die Netzwerkfunktionen unter Windows oder anderen Betriebssystemen deaktiviert oder deinstalliert, sorgt die Malware Intel ME, dass eine Kommunikation per SOL über die Netzwerkschnittstellen möglich ist. Abhilfe schafft eigentlich nur noch, das Kabel kappen und WiFi-Verbindungen tot legen.

AMT SOL component stack(Quelle: Microsoft)


Anzeige

Das obige Schaubild von Microsoft verdeutlicht das Schlamassel. Windows Defender ATP kann aber diese Angriffe erkennen und die Netzwerkadministratoren warnen. Administratoren sollten versuchen AMT im BIOS-Setup zu deaktivieren oder nachsehen, ob die SoL-Funktion per MEBx-Setup abschalten. Weitere Details zum Angriff lassen sich in Microsofts englischsprachigem Blog-Beitrag nachlesen. Ein deutschsprachiger Artikel findet sich bei heise.de. Es sind am Ende des Tages immer die von den Herstellern eingebauten 'Sicherheitserweiterungen' und 'Zusatzfeatures', die sich als Backdoor und Sicherheitsrisiko erweisen.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Anzeige


Dieser Beitrag wurde unter Geräte, Sicherheit abgelegt und mit Intel AMT, Sicherheit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Antworten zu Platinum-Hackergruppe greift Systeme über Intel AMT an

  1. Und was schlägt Intel nun vor um diesen von ihnen erdachten Backdoor zu schließen? Kann ich meine Intel Netzwerkkarte Umtauschen oder Intel abmahnen?

  2. der drahtlose Dienst sagt:

    "NEU" ist das keineswegs! Die spannende Frage ist wohl eher, warum ausgerechnet die Redmonder Maleware-Bude Maul macht. Die selbst haben den Quatsch mit Intel verbrochen, nachdem sie die Vorgaben des Heimatschutzes vertragsgemäß erfüllten!

    Das, worüber Ihr Euch heute wundert, es war nur ein Vorgeschmack für Blinzler.

    Schaut Euch mal die ARM v8 & v10 an, dort gibt es Direktzugänge übers Netz in die gesamte Infrastruktur, ohne Hindernisse. Die vordergründige Maleware ist nur mit einer dekorativen Sicherheit versehen. Egal ob Apfel oder Android, die VM's bemerken gar nichts!

    Wer in eine Sicherheit investiert, die es nicht zu geben hat, der ist einfach nur dumm.

    Was die eigentlich mit Euch machen, das wollt Ihr doch gar nicht wissen.

    Effektiv rennt der Volkstrottel zu runderneuerten Aufrüstung und glaubt dabei an seine gute, zumeist teure Fehlinvestition.

    Die verzichtbare alte Lösung wird schlicht über eine selbstorganisierte Gaucklergruppe abgewrackt und weiter gehts mit falschem Spiel.

    Ich nehme lieber meinen Brotkasten und zock ne Runde Glücksrad!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.