Le rootkit iLOBleed cible les serveurs Hewlett-Packard

Au cours des derniers jours de 2021, les chercheurs de logiciels malveillants ont identifié une autre menace Windows. Cependant, il semble manquer de compatibilité et, à la place, il cible un ensemble particulier de systèmes - les périphériques HP exécutant la technologie de gestion de serveur Integrated Lights-Out (iLO). D'où le nom de l'implant, le Rootkit iLOBleed.

Les rootkits sont un type de malware spécialisé dans l'octroi à leurs opérateurs d'un accès privilégié à long terme à l'appareil compromis. En plus de cela, ils sont très difficiles à identifier et à supprimer en raison de leur capacité à dissimuler leurs composants dans le micrologiciel, les pilotes et même les composants du système d'exploitation. La situation avec le rootkit iLOBleed n'est pas différente - il est capable de détourner le micrologiciel Integrated Lights-Out dans les appareils HP.

iLOBleed déploie des essuie-glaces sur les systèmes infectés

Souvent, le rootkit est utilisé pour l'espionnage, mais les auteurs du Rootkit iLOBleed semblent avoir des plans différents. Bien que l'implant leur permette d'effectuer un large éventail de tâches sur des serveurs compromis, les criminels choisissent d'effacer les données de leurs victimes. Il n'est pas clair quel type d'essuie-glace ils utilisent et s'il s'agit d'une famille de logiciels malveillants déjà connue ou d'un script personnalisé. Quelle que soit leur approche, il est clair que le Rootkit iLOBleed peut mener une attaque dévastatrice.

Les premières variantes du Rootkit iLOBleed ont été compilées à l'été 2020, mais la charge utile a subi des mises à jour importantes depuis lors. Il n'y a aucune information sur le mécanisme de livraison utilisé par les criminels et sur la manière dont le rootkit est implanté sur les serveurs de l'entreprise. Bien entendu, à titre préventif, les administrateurs réseau doivent renforcer la sécurité des systèmes.