Киберпреступники внедрили сложный вредонос в прошивку сервера HPE и имели удаленный доступ даже к отключенному устройству.
Тегеранская ИБ-компания Amnpardaz Software обнаружила таинственный вредоносный код на сервере одного из клиентов, производства американской компании Hewlett Packard Enterprise. Устройство работало нормально, пока в один момент не начало удалять свои жесткие диски.
Как стало известно по результатам расследования, кто-то внедрил умело разработанную вредоносную программу в прошивку Integrated Lights Out сервера HPE, позволяющую получать удаленный доступ даже к отключенным устройствам.
Вредоносное ПО, получившее название Implant.Arm.ilobleed, отключило ключевые элементы управления безопасностью на сервере. Хакеры использовали вредоносное ПО для удаленного доступа к серверу в течение как минимум шести месяцев, а затем запустили цикл самоуничтожения с целью стереть следы атаки.
Вредонос также модифицировал ряд оригинальных модулей прошивки. Implant.Arm.ilobleed тайно предотвращает обновление прошивки, делая вид, что оно завершено. Он также обеспечивает доступ к серверному оборудованию — одним из результатов чего является полная очистка дисков сервера. Кроме того, хакеры даже обновили номер версии своей вредоносной прошивки, чтобы он соответствовал легитимной версии iLO.
Данное открытие проливает свет на сложную хакерскую операцию, в ходе которой злоумышленники месяцами собирали информацию, сохраняя при этом свою секретность. Личность злоумышленников остается загадкой, хотя суть операции указывает на мотив, выходящий за рамки традиционных киберпреступлений.
Вредоносное ПО использовало уязвимость в прошивке iLO, которую компания исправила в 2017 году.
«У нас нет сведений о том, как сервер попал в страну. HPE не продает свои продукты прямо или косвенно в Иран», — пояснили в HPE.
Источник: securitylab