Redazione RHC : 20 Gennaio 2022 07:54
Gli specialisti della società di sicurezza informatica iraniana Amnpardaz hanno affermato di aver scoperto un rootkit unico, nascosto nel firmware dei dispositivi HP iLO e utilizzato in attacchi reali per cancellare i server delle organizzazioni iraniane.
Il rootkit si chiama iLOBleed e, secondo i ricercatori, utilizza soluzioni hardware HP iLO (Integrated Lights-Out) che possono essere aggiunte a server e workstation come componente hardware aggiuntivo.
Gli iLO sono dotati di processore, spazio di archiviazione, RAM e scheda di rete propri e operano separatamente dal sistema operativo locale. Il loro compito è fornire agli amministratori la possibilità di connettersi in remoto ai sistemi (anche se questi sistemi sono spenti) ed eseguire operazioni di manutenzione, incluso l’aggiornamento del firmware, l’installazione di aggiornamenti di sicurezza o la reinstallazione di software difettoso.
Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?
Stiamo per avviare il corso intermedio in modalità "Live Class", previsto per febbraio.
A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.
Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato.
Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile.
Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]
Amnpardaz riferisce che dal 2020 i suoi esperti hanno indagato su diversi incidenti durante i quali un utente malintenzionato sconosciuto ha compromesso degli obiettivi e si è nascosto all’interno degli iLO per resistere a una reinstallazione del sistema operativo e ottenere un punto d’appoggio sulla rete della vittima.
Per evitare il rilevamento, l’autore dell’attacco ha camuffato il rootkit iLOBleed come modulo firmware iLO e ha anche creato un’interfaccia utente di aggiornamento falsa che veniva mostrata agli amministratori di sistema se tentavano di aggiornare il firmware.
“Il malware ha fatto del suo meglio per imitare il processo di aggiornamento anche se è sorto un altro problema: HP ha cambiato in modo significativo l’interfaccia utente di iLO”
affermano gli esperti.
Va notato che il rilevamento stesso di iLOBleed è già un risultato, poiché pochissimi strumenti e prodotti di sicurezza sono in grado di rilevare l’attività di malware a livello di iLO, che funziona più in profondità del sistema operativo stesso.
Sebbene il rootkit fornisse il controllo completo sugli host infetti, gli aggressori sembravano utilizzarlo solo per cancellare i sistemi infetti come parte di alcune operazioni distruttive di eliminazione dei dati.
“Naturalmente, il costo e l’esecuzione di un tale attacco lo colloca nella categoria APT. Ma l’utilizzo di un malware così potente e costoso per qualcosa come la distruzione dei dati, un’attività che aumenta solo la probabilità che venga rilevato malware, ci sembra un errore lampante da parte di questi criminali “
scrivono gli esperti. Ma saranno stati proprio questi gli intenti?
RedazioneUn’insidiosa offensiva di malware, nota come “Sindoor Dropper”, si concentra sui sistemi operativi Linux, sfruttando metodi di spear-phishing raffinati e un complesso processo d’infezione arti...
E’ stata rilevata una falla critica zero-day nei sistemi Citrix NetScaler, catalogata come CVE-2025-6543, che è stata oggetto di sfruttamento attivo da parte degli hacker criminali da maggio 2025, ...
Il Pentagono ha inviato una “lettera di preoccupazione” a Microsoft documentando una “violazione di fiducia” in merito all’utilizzo da parte dell’azienda di ingegneri cinesi per la manuten...
Google è pronta ad adottare una posizione più proattiva per proteggere se stessa e potenzialmente altre organizzazioni statunitensi dagli attacchi informatici, con l’azienda che suggerisce di pote...
Una falla di sicurezza nelle app di messaggistica di WhatsApp per Apple iOS e macOS è stata sanata, come riferito dalla stessa società, dopo essere stata probabilmente sfruttata su larga scala insie...
