Pesquisadores da Microsoft (detalhes aqui) descobrem uma ferramenta de transferência de arquivos, desenvolvida por um grupo de hackers que se entitula "Platinum". Esta ferramenta explora a AMT (Active Management Technology) – tecnologia de gerenciamento ativo da Intel - para enganar os firewalls, inclusive o do Windows. E como o processo ocorre?

Este tipo de invasão iniciou-se em 2016, quando o Platinum finalizou sua ferramenta de transferência de arquivos maliciosos, descoberta pela primeira vez em 2016.

Ela evoluiu e agora se aproveita dos programas que são mantidos ativos (firmware) pela ATM da Intel, para "ludibriarem" os firewalls e outras medidas de defesa, mesmo com a máquina desligada (em standby ou em processo de hibernação).

O recurso AMT está presente nos processadores e chips Intel vPro e é usado para gerenciamento remoto do funcionamento. Segundo a Microsoft e a Intel, esta é a primeira vez que uma ameaça persistente e avançada, foi encontrada usando os chipsets (componentes da placa-mãe de seu computador) dessa maneira.

As intruções da Intel AMT são processadas no Intel Management Engine (ME), que é executado usando seu próprio sistema operacional, em um processador embutido no chipset, fazendo uso de sua própria pilha de rede. Como este processador incorporado é separado do processador Intel primário, ele pode ser executado mesmo quando o processador principal (o seu I5 ou I7 de estimação) está desligado, fornecendo recursos de administração remota, fora de banda, pois o acesso se dá diretamente ao hardware da interface de rede.

O recurso serial-over-LAN (SOL), da tecnologia Intel AMT, faz uso da pilha de rede do ME, permitindo que ele se comunique, mesmo que a rede esteja desabilitada em seu computador (host), enquanto ele estiver fisicamente conectado à rede. Como o SOL opera independentemente do sistema operacional e da pilha de rede do host, qualquer comunicação por ele é invisível para aplicativos de firewall, antimalware e programas de monitoramento de rede que eventualmente estivessem em execução no host. Isso o torna uma ferramenta ideal para hackers.

E eu, que sempre dizia para meus colegas que “computador seguro, é computador desligado”. Bons tempos.

Agora, além de desligado, tem que estar fisicamente desconectado da rede.

E a conexão WiFi? Não se esqueça dela...

Em breve, cenas dos próximos capítulos...

Abraços a todos e ótima semana.