ILOBleed Rootkit atakuje serwery Hewlett-Packard

W ostatnich dniach 2021 roku badacze złośliwego oprogramowania zidentyfikowali kolejne zagrożenie dla systemu Windows. Wydaje się jednak, że brakuje mu kompatybilności, a zamiast tego jest skierowany do jednego konkretnego zestawu systemów – urządzeń HP z technologią zarządzania serwerem Integrated Lights-Out (iLO). Stąd nazwa implantu iLOBleed Rootkit.

Rootkity to rodzaj złośliwego oprogramowania, które specjalizuje się w zapewnianiu swoim operatorom długoterminowego, uprzywilejowanego dostępu do zaatakowanego urządzenia. Ponadto są one wyjątkowo trudne do zidentyfikowania i usunięcia ze względu na ich zdolność do ukrywania swoich komponentów w oprogramowaniu układowym, sterownikach, a nawet komponentach systemu operacyjnego. Nie inaczej jest w przypadku iLOBleed Rootkit – jest on w stanie przejąć kontrolę nad firmware Integrated Lights-Out w urządzeniach HP.

iLOBleed wdraża wycieraczki w zainfekowanych systemach

Często rootkit jest wykorzystywany do szpiegostwa, ale autorzy iLOBleed Rootkit wydają się mieć inne plany. Chociaż implant umożliwia im wykonywanie szerokiego zakresu zadań na zaatakowanych serwerach, przestępcy decydują się na wyczyszczenie danych swoich ofiar. Nie jest jasne, jakiego rodzaju wycieraczki używają i czy jest to znana wcześniej rodzina złośliwego oprogramowania, czy niestandardowy skrypt. Niezależnie od ich podejścia jasne jest, że iLOBleed Rootkit może przeprowadzić niszczycielski atak.

Pierwsze warianty iLOBleed Rootkit zostały skompilowane latem 2020 roku, ale od tego czasu ładunek przeszedł znaczące aktualizacje. Nie ma informacji o mechanizmie dostarczania, z którego korzystają przestępcy, ani o tym, jak rootkit jest umieszczany na serwerach firmy. Oczywiście, jako środek zapobiegawczy, administratorzy sieci powinni zwiększyć bezpieczeństwo systemów.