Az iLOBleed Rootkit a Hewlett-Packard szervereket célozza meg

2021 utolsó napjaiban a rosszindulatú programok kutatói újabb Windows fenyegetést azonosítottak. Úgy tűnik azonban, hogy hiányzik a kompatibilitás, és ehelyett egy meghatározott rendszercsoportot céloz meg – az Integrated Lights-Out (iLO) szerverfelügyeleti technológiát futtató HP-eszközöket. Innen származik az implantátum neve, az iLOBleed Rootkit.

A rootkitek olyan rosszindulatú programok, amelyek arra specializálódtak, hogy üzemeltetőiknek hosszú távú, kiváltságos hozzáférést biztosítsanak a feltört eszközhöz. Ezen túlmenően rendkívül nehéz azonosítani és eltávolítani őket, mivel képesek elrejteni összetevőiket a firmware-ben, az illesztőprogramokban és még az operációs rendszer összetevőiben is. A helyzet az iLOBleed Rootkit esetében sem más – képes eltéríteni az Integrated Lights-Out firmware-t a HP eszközökben.

Az iLOBleed ablaktörlőket telepít a fertőzött rendszerekre

A rootkitet gyakran kémkedésre használják, de úgy tűnik, hogy az iLOBleed Rootkit szerzőinek más tervei vannak. Bár az implantátum lehetővé teszi számukra, hogy sokféle feladatot hajtsanak végre a feltört szervereken, a bűnözők úgy döntenek, hogy törlik áldozataik adatait. Nem világos, hogy milyen ablaktörlőt használnak, és hogy egy korábban ismert kártevőcsaládról, vagy egyedileg készített szkriptről van szó. A megközelítésüktől függetlenül egyértelmű, hogy az iLOBleed Rootkit pusztító támadást tud végrehajtani.

Az iLOBleed Rootkit első változatait 2020 nyarán állították össze, de a rakomány azóta jelentős frissítéseken ment keresztül. Nincs információ a bűnözők által használt kézbesítési mechanizmusról, és arról, hogy a rootkit hogyan kerül a vállalati szerverekre. Természetesen megelőző intézkedésként a hálózati rendszergazdáknak fokozniuk kell a rendszerek biztonságát.