İranlı bir siber güvenlik firması Amnpardaz, ABD’li Hewlet Packard (HP) firmasına ait yerleşik sunucularda (iLO) saklanan ve İranlı kuruluşların sunucularını silmek için siber saldırıda kullanılan “Rootkit” olarak tanımlanan zararlı bir yazılım keşfettiğini açıkladı.
Türünün ilk örneği olan ve “iLOBleed” adı verilen bu yazılımların amacı, diğer siber saldırılarda olanın aksine yayılmak yerine, bulunduğu sistemde varlığını gizlemek ve verileri silip/takip etmek.
Şirkete göre iLOBleed, sunuculara veya iş istasyonlarına eklenti kartı olarak eklenebilen bir donanım aygıtı olan HP iLO’yu (Integrated Lights-Out) hedefliyor.
Saldırganın zararlı yazılımın bulunmaması için, iLO yazılımına bir modül olarak gizlediğini belirten araştırmacılar, ayrıca iLO üretici yazılımını güncellemeye çalıştıklarında sistem yöneticilerine göstermek için sahte bir güncelleme kullanıcı arayüzü oluşturduğunu da dile getirdi.
Kendini sakladığı gibi bir de sahte arayüz oluşturarak fark edilmesini engellemeye çalışan söz konusu saldırı yazılımı, HP firmasının iLO sistemi arayüzünü değiştirmesi sonucunda fark edildi.
iLO Rootkit’ini son teknoloji ve muhtemelen çok gelişmiş bir tehdit aktörünün işi olarak tanımlayan Amnpardaz ve siber güvenlik topluluğu üyeleri, saldırıların kimin tarafından yapıldığını belirleyemedi.
