ILOBleed Rootkit riktar sig till Hewlett-Packard-servrar

Under de sista dagarna av 2021 har forskare om skadlig programvara identifierat ännu ett Windows-hot. Det verkar dock sakna kompatibilitet och i stället riktar det sig mot en viss uppsättning system – HP-enheter som kör serverhanteringstekniken Integrated Lights-Out (iLO). Därav namnet på implantatet, iLOBleed Rootkit.

Rootkits är en typ av skadlig programvara som specialiserar sig på att ge sina operatörer långvarig, privilegierad tillgång till den komprometterade enheten. Utöver detta är de extra svåra att identifiera och ta bort på grund av deras förmåga att dölja sina komponenter i firmware, drivrutiner och till och med operativsystemkomponenter. Situationen med iLOBleed Rootkit är inte annorlunda – den kan kapa den integrerade Lights-Out-firmwaren i HP-enheter.

iLOBleed distribuerar torkare till infekterade system

Ofta används rootkit för spionage, men författarna till iLOBleed Rootkit verkar ha olika planer. Även om implantatet gör det möjligt för dem att utföra ett brett spektrum av uppgifter på komprometterade servrar, väljer brottslingarna att radera uppgifterna om sina offer. Det är inte klart vilken sorts torkare de använder, och om det är en tidigare känd skadlig programvara eller ett specialbyggt skript. Oavsett deras tillvägagångssätt är det tydligt att iLOBleed Rootkit kan utföra en förödande attack.

De första varianterna av iLOBleed Rootkit kompilerades sommaren 2020, men nyttolasten har genomgått betydande uppdateringar sedan dess. Det finns ingen information om leveransmekanismen som brottslingarna använder och hur rootkitet planteras på företagets servrar. Naturligtvis, som en förebyggande åtgärd, bör nätverksadministratörer förbättra systemens säkerhet.