Hacker sử dụng rootkit HP iLO để xóa dữ liệu các máy chủ
Công ty bảo mật Amnpardaz của Iran cho biết họ đã phát hiện một bột rootkit có tên iLOBleed ẩn bên trong firmware của các thiết bị HP iLO. Rootkit này được sử dụng để xóa sạch dữ liệu các máy chủ thuộc các tổ chức tại Iran.
Theo công ty, bộ Rootkit iLOBleed nhắm mục tiêu chủ yếu vào các thiết bị HP iLO, một thiết bị phần cứng có thể được thêm vào máy chủ như một phần hỗ trợ quản lý.
HP iLO là phần mềm được nhúng trên bo mạch các máy chủ. Vai trò của chúng là cung cấp các quản trị viên một hệ thống giao diện quản lý máy chủ HP. Giúp cập nhật, cài đặt, cấu hình, và giám sát các máy chủ từ xa một cách dễ dàng.
Các cuộc tấn công iLOBleed đầu tiên được phát hiện vào năm 2020
Web giao diện đăng nhập iLO giả mạo và thật
Công ty Amnpardaz cho biết từ năm 2020, họ đã phát hiện các hacker cố gắng xâm nhập bên trong các thiết bị HP iLO. Để tránh bị phát hiện, các hacker đã cố tình ngụy trang bộ rootkit iLOBleed thành một module chính trong các firmware của các thiết bị này.
Ngoài ra, các hacker cũng xây dựng một website giao diện đăng nhập người dùng giả mạo nhằm đánh cắp thông tin đăng nhập.
Mặc dù vậy, ngay cả khi đã kiểm soát các máy chủ bị nhiễm, các hacker chỉ có thể sử dụng nó để xóa dữ liệu bên trong máy chủ.
“Bộ rootkit cố gắng mô phỏng quá trình nâng cấp và gặp khó khăn khi hiển thị các phiên bản nâng cấp giả mạo trong giao diện người dùng web của HP iLO. Khi nhóm bảo mật phát hiện ra rootkit này, hacker đã quyết định xóa sạch dữ liệu máy chủ để ẩn tung tích của chúng," công ty Amnpardaz cho biết thêm.
Vẫn chưa biết ai đứng đằng sau cuộc tấn công
Cả công ty Amnpardaz và các thành viên của cộng đồng an ninh mạng đều mô tả bộ rootkit iLOBleed trên là một công cụ hiện đại và là tác phẩm kinh điển của một hacker rất giỏi nào đó.
Mặc dù báo cáo của công ty cho thấy sự tồn tại của rootkit này, nhưng cách triển khai ban đầu rootkit này vẫn còn là một ẩn số. Ngoài ra, như công ty Amnpardaz cũng đã chỉ ra trong báo cáo của họ, việc phát hiện ra rootkit iLOBleed là một bước đột phá, bởi vì có rất ít phần mềm bảo mật có khả năng phát hiện hoạt động các rootkit hay phần mềm độc hại ở cấp độ iLO.