Neues iLOBleed Rootkit zielt mit Datenlöschungsangriffen auf HP Enterprise Server

  • Ein bisher unbekanntes Rootkit wurde entdeckt, das es auf die Integrated Lights-Out (iLO)-Serververwaltungstechnologie von Hewlett-Packard Enterprise abgesehen hat, um Angriffe in freier Wildbahn durchzuführen, die die Firmware-Module manipulieren und die Daten der infizierten Systeme vollständig löschen.

    Die Entdeckung, bei der es sich um den ersten realen Fall von Malware in iLO-Firmware handelt, wurde diese Woche von der iranischen Cybersicherheitsfirma Amnpardaz dokumentiert.

    “Es gibt zahlreiche Aspekte von iLO, die es zu einem idealen Utopia für Malware und APT-Gruppen machen: Extrem hohe Privilegien (oberhalb jeder Zugriffsebene im Betriebssystem), sehr geringer Zugriff auf die Hardware, völlige Unsichtbarkeit für Administratoren und Sicherheitstools, allgemeiner Mangel an Wissen und Tools für die Inspektion und/oder den Schutz von iLO, die Persistenz, die es der Malware ermöglicht, selbst nach einem Wechsel des Betriebssystems zu bleiben, und insbesondere die Tatsache, dass es immer läuft und nie heruntergefahren wird”, so die Forscher.

    [Blocked Image: https://thehackernews.com/images/-_qK1yHVo__w/YVHUUsSpIGI/AAAAAAAA4aY/cbPcuH6NoWs085FCBPnEubY4Xg4ehW0nwCLcBGAsYHQ/s728-e100/rewind-3-728.png]

    Die Tatsache, dass iLO-Module nicht nur die Server verwalten, sondern auch weitreichenden Zugriff auf die gesamte Firmware, Hardware, Software und das auf den Servern installierte Betriebssystem haben, macht sie zu einem idealen Kandidaten, um in Unternehmen mit HP-Servern einzudringen, wobei die Malware auch nach einem Neustart bestehen bleibt und Neuinstallationen des Betriebssystems überlebt. Der genaue Modus Operandi, mit dem die Netzwerkinfrastruktur infiltriert und der Wiper eingesetzt wurde, ist jedoch noch unbekannt.

    [Blocked Image: https://thehackernews.com/new-images/img/a/AVvXsEhvEVyR6r3tRSRUzPU7t_9JfqUiWSSATa121qnYmsHGQGZeZDV6ikh2nYduwM6Qh3z2V84cAKncrFchRHS25cOBNtZ4DUk6AYAKrB4GGmtsXT78_OjBHVI3zKXHGsO1SwiikIgOu1meyhiVtM_NE6hnNR3FbntFsgBZi7nlM6XPvT08WVYElKBYGwy_=s728-e1000]

    Das Rootkit mit dem Namen iLOBleed wird seit 2020 in Angriffen eingesetzt, die darauf abzielen, eine Reihe von Original-Firmware-Modulen zu manipulieren, um Firmware-Updates heimlich zu behindern. Die an der Firmware-Routine vorgenommenen Änderungen simulieren den Aktualisierungsprozess der Firmware, indem sie angeblich die richtige Firmware-Version anzeigen und relevante Protokolle hinzufügen, während in Wirklichkeit keine Aktualisierungen durchgeführt werden.

    “Dies allein zeigt, dass der Zweck dieser Malware darin besteht, ein Rootkit mit maximaler Tarnung zu sein und sich vor allen Sicherheitsinspektionen zu verstecken”, so die Forscher. “Eine Malware, die sich in einer der leistungsstärksten Verarbeitungsressourcen versteckt (die immer eingeschaltet ist) und in der Lage ist, alle von einem Angreifer erhaltenen Befehle auszuführen, ohne jemals entdeckt zu werden.”

    [Blocked Image: https://thehackernews.com/new-images/img/a/AVvXsEiw8AXRXcNuWShmgSAqCyW4dJEk5WbSfY9gvwoDjAQS4XnEpni0UDRuJjLlwx-lK0UzXVqcB1vy2VO7PJU97nG1BWigHc4tyASrMxD7-lv6fevsPyefrW7t6eq3TJMtqhepxKPLKMZXEQ5hcXcKGqQaZD__C9KQa3pwFEI4UTgtMFJeJZcumSCimnRe=s728-e1000]

    Obwohl der Angreifer noch nicht identifiziert wurde, beschrieb Amnpardaz das Rootkit als das Werk einer fortgeschrittenen, anhaltenden Bedrohung (Advanced Persistent Threat, APT), eine Bezeichnung für eine nationalstaatliche oder staatlich geförderte Gruppe, die kontinuierliche, geheime und ausgefeilte Hacking-Techniken einsetzt, um unbefugten Zugang zu einem System zu erlangen und über einen längeren Zeitraum darin zu bleiben, ohne Aufmerksamkeit zu erregen.

    [Blocked Image: https://thehackernews.com/new-images/img/a/AVvXsEgX1gDcM3NJ7zFIjh2jy_YjPVvQV-OXmjPoUNQ5e-4V05t95bJZjKKE8s8zCu6HcSbiNZlBWTDqjFtGlcNvkPu1bdFL3iwot1BI28jkqbfRmwmMWy4-ZqVBMdE1cnIiLTiCUnWYnIDLmQd_sAu3tfIn4vqXVTD_545AbcLymn536FoMwRzJh8yA6hWEdw=s728-e100]

    Die Entwicklung rückt die Sicherheit der Firmware erneut in den Mittelpunkt und macht es erforderlich, dass vom Hersteller bereitgestellte Firmware-Updates umgehend angewendet werden, um potenzielle Risiken zu minimieren, dass iLO-Netzwerke von den Betriebsnetzwerken getrennt werden und dass die Firmware regelmäßig auf Anzeichen einer Infektion überwacht wird.

    “Ein weiterer wichtiger Punkt ist, dass es Methoden gibt, um sowohl über das Netzwerk als auch über das Host-Betriebssystem auf iLO zuzugreifen und es zu infizieren”, so die Forscher. “Das bedeutet, dass selbst wenn das iLO-Netzwerkkabel vollständig abgezogen ist, die Möglichkeit einer Infektion mit der Malware besteht. Interessanterweise gibt es keine Möglichkeit, iLO komplett auszuschalten oder zu deaktivieren, wenn es nicht benötigt wird.”

    Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

    Einige Teile dieses Artikels stammen aus:
    thehackernews.com