Jump to content

Хакеры атакуют серверы с помощью руткита для HP iLO


security147

Recommended Posts

Хакеры атакуют серверы с помощью руткита для HP iLO

15:53 / 29 Декабря, 2021 2021-12-29T16:53:30+03:00

Alexander Antipov

Хотя руткит предоставляет полный контроль над системой, хакеры использовали его только для удаления данных.

https://www.securitylab.ru/upload/iblock/889/889af8128e8f40314cb5fe0267c176bd.jpg

Специалисты иранской ИБ-компании Amnpardaz обнаружили первый в своем роде руткит, скрываемый в прошивке устройств HP iLO и использующийся в реальных атаках для удаления данных с серверов иранских организаций.

Руткит iLOBleed атакует HP iLO (Integrated Lights-Out) – аппаратные устройства для управления серверами в условиях отсутствия физического доступа к ним. iLO оснащены собственным процессором, хранилищем данных, оперативной памятью и сетевой картой и работают отдельно от любой локальной операционной системы.

Главным предназначением этих устройств является обеспечение системным администраторам связи с удаленными системами, даже с отключенными, чтобы они могли выполнять операции по обслуживанию (обновление прошивки, установка обновление безопасности, переустановка системы и пр.).

Эти функции сделали карты iLO одним из самых успешных корпоративных продуктов для удаленного управления парком компьютеров и автоматического развертывания образов ОС во многих современных дата-центрах.

По словам специалистов Amnpardaz, начиная с 2020 года, они расследовали несколько инцидентов, когда неизвестные злоумышленники использовали iLO для того, чтобы «пережить» переустановку ОС и сохранить постоянство в атакуемой сети.

Для обхода обнаружения злоумышленники маскируют руткит iLOBleed под модуль прошивки iLO. Они также создали поддельный интерфейс обновления, отображающийся системным администраторам, когда они пытаются обновить прошивку iLO.

Несмотря на то, что руткит предоставляет полный контроль над зараженной системой, злоумышленники, похоже, использовали его только для удаления данных. Когда исследователи безопасности обнаружили руткит, хакеры стерли все диски сервера, чтобы полностью удалить все свои следы.


В нашем телеграм канале мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как выжить в цифровом кошмаре!

Adblock test (Why?)

Link to comment

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...