ILOBleed Rootkit er rettet mod Hewlett-Packard-servere

I de sidste dage af 2021 har malware-forskere identificeret endnu en Windows-trussel. Det ser dog ud til at mangle kompatibilitet, og i stedet er det rettet mod ét bestemt sæt systemer – HP-enheder, der kører med Integrated Lights-Out (iLO) serverstyringsteknologi. Deraf navnet på implantatet, iLOBleed Rootkit.

Rootkits er en type malware, som er specialiseret i at give deres operatører langsigtet, privilegeret adgang til den kompromitterede enhed. Ud over dette er de ekstra svære at identificere og fjerne på grund af deres evne til at skjule deres komponenter i firmware, drivere og endda operativsystemkomponenter. Situationen med iLOBleed Rootkit er ikke anderledes - den er i stand til at kapre den integrerede Lights-Out-firmware i HP-enheder.

iLOBleed implementerer vinduesviskere til inficerede systemer

Ofte bruges rootkit til spionage, men forfatterne af iLOBleed Rootkit ser ud til at have forskellige planer. Selvom implantatet sætter dem i stand til at udføre en lang række opgaver på kompromitterede servere, vælger de kriminelle at slette data fra deres ofre. Det er ikke klart, hvilken slags visker de bruger, og om det er en tidligere kendt malware-familie eller et specialbygget script. Uanset deres tilgang, er det klart, at iLOBleed Rootkit kan udføre et ødelæggende angreb.

De første varianter af iLOBleed Rootkit blev kompileret i sommeren 2020, men nyttelasten har gennemgået betydelige opdateringer siden da. Der er ingen information om leveringsmekanismen, som de kriminelle bruger, og hvordan rootkittet bliver plantet på virksomhedens servere. Naturligvis bør netværksadministratorer som en forebyggende foranstaltning forbedre systemernes sikkerhed.