Кто-то стирает содержимое серверов HP с помощью руткита для iLO

Татьяна Никитина 30 Декабря 2021 - 15:49

...

Кто-то стирает содержимое серверов HP с помощью руткита для iLO

При разборе деструктивных атак на иранские организации исследователи из ИБ-компании Amnpardaz обнаружили редкого зловреда — руткит для прошивки, заточенный под устройства управления HP iLO. Примечательно, что, несмотря на широкие возможности вредоноса, получившего кодовое имя iLOBleed, хакеры используют его только для уничтожения данных на серверных жестких дисках.

Встроенные средства управления и мониторинга HP iLO позволяют сисадмину подключаться к удаленным серверам (например, в ЦОД) и выполнять на них технические работы: обновлять прошивки и софт, переустанавливать ОС и т. п. Функциональность удаленного присутствия HPE обычно реализует на чипе (SoC на базе МП ARM) или дополнительной плате.

Встроенный iLO-модуль имеет собственный процессор, флеш-память для хранения прошивки, ОЗУ и сетевой интерфейс. Он работает под управлением проприетарной ОС и имеет полный доступ к серверному оборудованию, прошивке и установленным программам.

Вредонос iLOBleed впервые попал в поле зрения иранских экспертов в прошлом году и с тех пор засветился еще в нескольких атаках. Неизвестные хакеры взламывают серверы HPE и внедряют руткит, который добавляет свой модуль в прошивку iLO, выдавая его за легитимный (в Amnpardaz его детектируют как Implant.ARM.iLOBleed.a).

Зловред также модифицирует некоторые штатные модули iLO, чтобы воспрепятствовать обновлению прошивки и регистрации вредоносных действий на сервере. Он также пытается ввести в заблуждение админа, имитируя процесс обновления прошивки iLO и отображая неверную информацию о версии в веб-интерфейсе.

Подобный имплант способен обеспечить атакующим постоянное присутствие в целевой сети и предельно высокие привилегии в системе, однако злоумышленники почему-то этим не пользуются. Они предпочитают стирать диски на взломанных серверах, время от времени повторяя процедуру — видимо, чтобы внезапная переустановка ОС не расстроила их планы.

Каким образом происходит внедрение iLOBleed, пока неизвестно. Не исключено, что хакеры проникают в сети по другим каналам, а затем развертывают руткит в качестве бэкдора, используя некие уязвимости в прошивках iLO или расширяя доступ к инфицированному хосту до уровня iLO.

К сожалению, этот уровень обычно недоступен для антивирусных решений. Отключение зараженной машины от сети тоже не поможет избавиться от инфекции: iLO-модуль в таких случаях продолжает работать.

Следующая главная новость »

Российские альтернативы Microsoft CA: чем заменить и не проиграть?
Регистрируйтесь на эфир!

Яков Шпунт 01 Апреля 2026 - 14:46

Android Трояны Домашние пользователи F6

Под видом «Фитнес помощника» в Telegram распространяют Android-зловреды

Компания F6 выявила новую кампанию по распространению мобильных вредоносных приложений. Для этого злоумышленники создают поддельные телеграм-каналы брендов спортивной одежды, через которые распространяют APK-файлы с зловредами.

О новой вредоносной кампании сообщили специалисты F6. Обнаруженный Android-зловред называется «Фитнес помощник» и позиционируется как приложение для подсчёта калорий.

«Аналитики зафиксировали активность поддельного телеграм-канала с 5,5 тыс. подписчиков, который практически идентичен официальному каналу бренда спортивной одежды и куда дублировались сообщения из легитимного канала. На поддельном ресурсе под видом приложения „Фитнес помощник“ для подсчёта калорий предлагается скачать APK-файл, в котором скрыто вредоносное приложение для Android», — пояснили в F6.

Зловред также обнаружили на ряде других каналов-двойников, посвящённых здоровому образу жизни. Кроме того, там были выявлены неактивные боты по продаже слотов на популярные в России марафоны.

Распространяемое злоумышленниками приложение собирает данные с устройств, включая уведомления и СМС-сообщения. Это позволяет атакующим получать доступ в том числе к банковским приложениям.

Как отметил ведущий аналитик F6 Digital Risk Protection Евгений Егоров, маскировка под известные бренды остаётся одним из самых простых и надёжных способов распространения фишинговых ссылок и вредоносных приложений. При этом злоумышленники сознательно выбирают ресурсы не самой массовой тематики, где аудитория меньше ожидает столкнуться с киберугрозами.

В компании напомнили о необходимости соблюдать базовые правила кибергигиены: не переходить по ссылкам на неизвестные ресурсы, не устанавливать приложения из сомнительных источников и внимательно проверять системные разрешения при установке.

Злоумышленники уже не впервые пытаются распространять зловреды под видом легитимных приложений. Так, в ноябре прошлого года была зафиксирована массовая кампания по навязыванию вредоносных приложений, маскировавшихся под антирадары и сервисы предупреждения о дорожных камерах. Для их продвижения тогда также использовались телеграм-каналы автомобильной тематики.

Российские альтернативы Microsoft CA: чем заменить и не проиграть?
Регистрируйтесь на эфир!