Curi Data Komputer Menggunakan Intel AMT Untuk Bypass Firewall
Sekelompok spionase cyber yang dikenal sebagai "Platinum", yang secara
aktif menargetkan organisasi pemerintah, institusi pertahanan, dan
penyedia telekomunikasi diperkirakan sejak tahun 2009, mereka berhasil
menemukan cara untuk menyembunyikan aktivitas jahatnya dari mekanisme
perlindungan berbasis host. Microsoft baru-baru ini menemukan
bahwa kelompok spionase cyber memanfaatkan saluran Intel's Active
Management Technology (AMT) Serial-over-LAN (SOL) sebagai alat pemindah
file untuk mencuri data dari komputer yang ditargetkan tanpa terdeteksi.
Chip berbasis Intel hadir dengan embedded technology, yang disebut AMT, yang dirancang untuk memungkinkan administrator IT mengelola dan memperbaiki secara remote jarak jauh pada PC, workstation, dan server. Teknologi Intel AMT beroperasi secara independen dari sistem operasi dan bekerja bahkan ketika sistem dimatikan, selama platform terhubung ke power line dan kabel jaringan.
Itu berarti, ketika AMT diaktifkan, paket apa pun yang dikirim ke port jaringan kabel PC akan dialihkan ke Engine Manajemen dan diteruskan ke AMT - pada sistem operasi, serta aplikasi pemantau jaringan yang terpasang pada sistem, tidak pernah tahu apa yang terjadi di sekitar itu. Selain itu, sistem Linux yang menggunakan chip Intel dan AMT pada mode aktif mungkin juga akan terkena dampak dari malware Platinum.
"Karena embedded processor ini terpisah dari prosesor Intel primer, prosesor ini dapat dijalankan bahkan saat prosesor utama dimatikan dan oleh karena itu, dapat memberikan kemampuan administrasi jarak jauh (OOB) seperti mengkses Keyboard, video, dan mouse control (KVM)," kata Microsoft.
"Selanjutnya, lalu lintas SOL dapat dengan mudah melewati host networking stack, artinya tidak dapat diblokir oleh aplikasi firewall yang berjalan pada perangkat host. Untuk mengaktifkan fungsionalitas SOL, perangkat AMT harus tersedia."
Berbeda dengan cacat otentikasi jarak jauh yang ditemukan bulan lalu yang memungkinkan peretas mengambil alih kendali penuh sistem dengan menggunakan fitur AMT tanpa memerlukan kata kunci apapun, Platinum tidak memanfaatkan cacat apa pun di AMT, sebaliknya, memerlukan AMT untuk diaktifkan pada sistem yang terinfeksi.
Microsoft mencatat bahwa sesi SOL memerlukan username dan password, jadi kelompok hacking tersebut menggunakan kredensial yang dicuri untuk membuat malwarenya berkomunikasi jauh dengan server C&C, atau "selama proses provisioning, PLATINUM dapat memilih username dan password mana yang mereka inginkan."
Grup Platinum telah menggunakan eksploitasi zero-day, teknik hot patching dan taktik lanjutan lainnya untuk menembus sistem target dan jaringan mereka saat ini berada di negara-negara Asia Selatan. Microsoft mengatakan telah memperbarui perangkat lunak Windows Defender Advanced Threat Protection miliknya sendiri yang akan mengingatkan administrator jaringan tentang upaya jahat menggunakan AMT SOL, namun hanya untuk sistem yang menjalankan sistem operasi Windows.
Chip berbasis Intel hadir dengan embedded technology, yang disebut AMT, yang dirancang untuk memungkinkan administrator IT mengelola dan memperbaiki secara remote jarak jauh pada PC, workstation, dan server. Teknologi Intel AMT beroperasi secara independen dari sistem operasi dan bekerja bahkan ketika sistem dimatikan, selama platform terhubung ke power line dan kabel jaringan.
Itu berarti, ketika AMT diaktifkan, paket apa pun yang dikirim ke port jaringan kabel PC akan dialihkan ke Engine Manajemen dan diteruskan ke AMT - pada sistem operasi, serta aplikasi pemantau jaringan yang terpasang pada sistem, tidak pernah tahu apa yang terjadi di sekitar itu. Selain itu, sistem Linux yang menggunakan chip Intel dan AMT pada mode aktif mungkin juga akan terkena dampak dari malware Platinum.
"Karena embedded processor ini terpisah dari prosesor Intel primer, prosesor ini dapat dijalankan bahkan saat prosesor utama dimatikan dan oleh karena itu, dapat memberikan kemampuan administrasi jarak jauh (OOB) seperti mengkses Keyboard, video, dan mouse control (KVM)," kata Microsoft.
"Selanjutnya, lalu lintas SOL dapat dengan mudah melewati host networking stack, artinya tidak dapat diblokir oleh aplikasi firewall yang berjalan pada perangkat host. Untuk mengaktifkan fungsionalitas SOL, perangkat AMT harus tersedia."
Berbeda dengan cacat otentikasi jarak jauh yang ditemukan bulan lalu yang memungkinkan peretas mengambil alih kendali penuh sistem dengan menggunakan fitur AMT tanpa memerlukan kata kunci apapun, Platinum tidak memanfaatkan cacat apa pun di AMT, sebaliknya, memerlukan AMT untuk diaktifkan pada sistem yang terinfeksi.
Microsoft mencatat bahwa sesi SOL memerlukan username dan password, jadi kelompok hacking tersebut menggunakan kredensial yang dicuri untuk membuat malwarenya berkomunikasi jauh dengan server C&C, atau "selama proses provisioning, PLATINUM dapat memilih username dan password mana yang mereka inginkan."
Grup Platinum telah menggunakan eksploitasi zero-day, teknik hot patching dan taktik lanjutan lainnya untuk menembus sistem target dan jaringan mereka saat ini berada di negara-negara Asia Selatan. Microsoft mengatakan telah memperbarui perangkat lunak Windows Defender Advanced Threat Protection miliknya sendiri yang akan mengingatkan administrator jaringan tentang upaya jahat menggunakan AMT SOL, namun hanya untuk sistem yang menjalankan sistem operasi Windows.
0 comments :