Eulogic Blog
Le ultime news dal mondo ICT
Le ultime news dal mondo ICT
Una società di sicurezza informatica iraniana, Amnpardaz, ha affermato di aver scoperto un rootkit unico nel suo genere che si nasconde all’interno del firmware dei dispositivi HP iLO (Integrated Lights-Out). Questa è la prima scoperta nota di un rootkit iLO, il suo nome, iLOBleed, si basa sul modulo malware Implant.ARM.iLOBleed.a scoperto nel firmware.
Oltre a gestire i server, il fatto che i moduli iLO abbiano un ampio accesso a tutto il firmware, hardware, software e sistema operativo (OS) installato sui server li rende un candidato ideale per violare le organizzazioni che utilizzano i server HP, consentendo anche al malware di mantenere la persistenza dopo il riavvio e sopravvivere alle reinstallazioni del sistema operativo. Tuttavia, l’esatto modus operandi utilizzato per infiltrarsi nell’infrastruttura di rete e distribuire il wiper rimane ancora sconosciuto.
Gli aggressori hanno impedito con discrezione gli aggiornamenti del firmware simulando un falso processo di aggiornamento sull’interfaccia utente web. Sebbene mostrasse l’ultimo numero di versione del firmware, gli aggressori non sono riusciti a utilizzare l’ultima immagine dell’interfaccia utente.
Le intenzioni erano quelle di rimanere nascosti mentre prendevano misure aggiuntive per nascondere la loro presenza. Oltre alla falsa pagina dell’interfaccia utente, hanno anche prodotto registri di output con informazioni false. Dopo che i ricercatori hanno scoperto il malware, gli aggressori hanno attivato una cancellazione dei server. Una mossa che i ricercatori hanno considerato una decisione sbagliata in quanto ha reso più facile rilevare il malware. Indipendentemente da ciò, hanno considerato la quantità di sforzi profusi in questo rootkit come altamente tecnica e a un livello di innovazione alla pari con i gruppi Advanced Persistence Threat (APT), che sono spesso legati alle agenzie di sicurezza governative. I ricercatori ritengono che l’intenzione principale del malware fosse quella di cancellare le unità del server e nascondere la sua presenza.
La portata di questo malware contro le distribuzioni mondiali di server HP con iLO è sconosciuta. I dettagli del rapporto ci lasciano credere che un gruppo APT stesse prendendo di mira vittime specifiche e non volesse necessariamente che il loro malware speciale fosse utilizzato da altri. Anche così, è meglio essere proattivi e proteggere i propri server, con i consigli di Amnpardaz, trovati nel loro rapporto:
Eulogic S.r.l. | |
Sede BARI Via Junipero Serra,13 70125 Bari |
|
![]() ![]() |
|
![]() |
|
![]() |