ILOBleed Rootkit retter seg mot Hewlett-Packard-servere

I de siste dagene av 2021 har skadevareforskere identifisert enda en Windows-trussel. Imidlertid ser det ut til at det mangler kompatibilitet, og i stedet er det rettet mot ett bestemt sett med systemer – HP-enheter som kjører den integrerte Lights-Out (iLO) serveradministrasjonsteknologien. Derav navnet på implantatet, iLOBleed Rootkit.

Rootkits er en type skadelig programvare som spesialiserer seg på å gi sine operatører langsiktig, privilegert tilgang til den kompromitterte enheten. I tillegg til dette er de ekstra vanskelige å identifisere og fjerne på grunn av deres evne til å skjule komponentene i fastvare, drivere og til og med operativsystemkomponenter. Situasjonen med iLOBleed Rootkit er ikke annerledes – den er i stand til å kapre den integrerte Lights-Out-fastvaren i HP-enheter.

iLOBleed distribuerer vindusviskere til infiserte systemer

Ofte brukes rootkit til spionasje, men forfatterne av iLOBleed Rootkit ser ut til å ha forskjellige planer. Selv om implantatet gjør dem i stand til å utføre et bredt spekter av oppgaver på kompromitterte servere, velger de kriminelle å slette dataene til ofrene sine. Det er ikke klart hva slags visker de bruker, og om det er en tidligere kjent skadevarefamilie, eller et spesialbygd skript. Uavhengig av deres tilnærming, er det klart at iLOBleed Rootkit kan utføre et ødeleggende angrep.

De første variantene av iLOBleed Rootkit ble kompilert sommeren 2020, men nyttelasten har gjennomgått betydelige oppdateringer siden den gang. Det er ingen informasjon om leveringsmekanismen som de kriminelle bruker, og hvordan rootsettet blir plantet på bedriftens servere. Selvfølgelig, som et forebyggende tiltak, bør nettverksadministratorer forbedre sikkerheten til systemene.