Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Redazione RHC : 20 Gennaio 2022 07:54
Gli specialisti della società di sicurezza informatica iraniana Amnpardaz hanno affermato di aver scoperto un rootkit unico, nascosto nel firmware dei dispositivi HP iLO e utilizzato in attacchi reali per cancellare i server delle organizzazioni iraniane.
Il rootkit si chiama iLOBleed e, secondo i ricercatori, utilizza soluzioni hardware HP iLO (Integrated Lights-Out) che possono essere aggiunte a server e workstation come componente hardware aggiuntivo.
Gli iLO sono dotati di processore, spazio di archiviazione, RAM e scheda di rete propri e operano separatamente dal sistema operativo locale. Il loro compito è fornire agli amministratori la possibilità di connettersi in remoto ai sistemi (anche se questi sistemi sono spenti) ed eseguire operazioni di manutenzione, incluso l’aggiornamento del firmware, l’installazione di aggiornamenti di sicurezza o la reinstallazione di software difettoso.
Iscriviti GRATIS alla RHC Conference 2025 (Venerdì 9 maggio 2025)
Il giorno Venerdì 9 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà
la RHC Conference 2025. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico.
La giornata inizierà alle 9:30 (con accoglienza dalle 9:00) e sarà interamente dedicata alla RHC Conference, un evento di spicco nel campo della sicurezza informatica. Il programma prevede un panel con ospiti istituzionali che si terrà all’inizio della conferenza. Successivamente, numerosi interventi di esperti nazionali nel campo della sicurezza informatica si susseguiranno sul palco fino alle ore 19:00 circa, quando termineranno le sessioni. Prima del termine della conferenza, ci sarà la premiazione dei vincitori della Capture The Flag prevista per le ore 18:00.
Potete iscrivervi gratuitamente all'evento utilizzando questo link.
Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Amnpardaz riferisce che dal 2020 i suoi esperti hanno indagato su diversi incidenti durante i quali un utente malintenzionato sconosciuto ha compromesso degli obiettivi e si è nascosto all’interno degli iLO per resistere a una reinstallazione del sistema operativo e ottenere un punto d’appoggio sulla rete della vittima.
Per evitare il rilevamento, l’autore dell’attacco ha camuffato il rootkit iLOBleed come modulo firmware iLO e ha anche creato un’interfaccia utente di aggiornamento falsa che veniva mostrata agli amministratori di sistema se tentavano di aggiornare il firmware.
“Il malware ha fatto del suo meglio per imitare il processo di aggiornamento anche se è sorto un altro problema: HP ha cambiato in modo significativo l’interfaccia utente di iLO”
affermano gli esperti.
Va notato che il rilevamento stesso di iLOBleed è già un risultato, poiché pochissimi strumenti e prodotti di sicurezza sono in grado di rilevare l’attività di malware a livello di iLO, che funziona più in profondità del sistema operativo stesso.
Sebbene il rootkit fornisse il controllo completo sugli host infetti, gli aggressori sembravano utilizzarlo solo per cancellare i sistemi infetti come parte di alcune operazioni distruttive di eliminazione dei dati.
“Naturalmente, il costo e l’esecuzione di un tale attacco lo colloca nella categoria APT. Ma l’utilizzo di un malware così potente e costoso per qualcosa come la distruzione dei dati, un’attività che aumenta solo la probabilità che venga rilevato malware, ci sembra un errore lampante da parte di questi criminali “
scrivono gli esperti. Ma saranno stati proprio questi gli intenti?
RedazioneIl ransomware HellCat è apparso nella seconda metà del 2024 e ha attirato l’attenzione degli analisti grazie all’umorismo delle sue dichiarazioni pubbliche. Ricordiamo l’...
Il 28 marzo 2025, un utente del noto forum di cybersecurity BreachForums, con lo pseudonimo ThinkingOne, ha rivelato quello che potrebbe essere il più grande data breach mai registrato nel mondo ...
Quando Jeffrey Goldberg dell’Atlantic ha fatto trapelare accidentalmente un messaggio di gruppo privato di alti funzionari statunitensi su un possibile attacco contro gli Houthi nello Yemen, ha...
Ogni mese diventa sempre più evidente: le password non funzionano più. Gli hacker hanno imparato a eludere anche la protezione a due fattori sfruttando sessioni rubate e milioni di dati comp...
La pseudonimizzazione è una tecnica di protezione dei dati definita dall’art. 4(5) del GDPR. Consiste nella trasformazione dei dati personali in modo tale che non possano più essere a...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006
