Контакты
Подписка 2024
DCAP и DLP
13 марта. Защита корпоративных данных: достаточно ли внедрить DCAP и DLP?
Регистрируйтесь и участвуйте в онлайн-конференции!

Хакеры шесть месяцев следили за иранской компанией через зараженный сервер HPE

14/02/22

hack81-Feb-14-2022-10-03-41-91-AMТегеранская ИБ-компания Amnpardaz Software обнаружила таинственный вредоносный код на сервере одного из клиентов, производства американской компании Hewlett Packard Enterprise. Устройство работало нормально, пока в один момент не начало удалять свои жесткие диски.

Как стало известно по результатам расследования, кто-то внедрил умело разработанную вредоносную программу в прошивку Integrated Lights Out сервера HPE, позволяющую получать удаленный доступ даже к отключенным устройствам.

Вредоносное ПО, получившее название Implant.Arm.ilobleed, отключило ключевые элементы управления безопасностью на сервере. Хакеры использовали вредоносное ПО для удаленного доступа к серверу в течение как минимум шести месяцев, а затем запустили цикл самоуничтожения с целью стереть следы атаки.

Вредонос также модифицировал ряд оригинальных модулей прошивки. Implant.Arm.ilobleed тайно предотвращает обновление прошивки, делая вид, что оно завершено. Он также обеспечивает доступ к серверному оборудованию — одним из результатов чего является полная очистка дисков сервера. Кроме того, хакеры даже обновили номер версии своей вредоносной прошивки, чтобы он соответствовал легитимной версии iLO.

Данное открытие проливает свет на сложную хакерскую операцию, в ходе которой злоумышленники месяцами собирали информацию, сохраняя при этом свою секретность. Личность злоумышленников остается загадкой, хотя суть операции указывает на мотив, выходящий за рамки традиционных киберпреступлений.

Вредоносное ПО использовало уязвимость в прошивке iLO, которую компания исправила в 2017 году.

«У нас нет сведений о том, как сервер попал в страну. HPE не продает свои продукты прямо или косвенно в Иран», — пояснили в HPE.

Темы:HPEПреступленияИран
Российские платформы виртуализации
21 марта. Российские платформы виртуализации: безопасность, производительность, совместимость
Регистрируйтесь и участвуйте!

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
14 марта. Автоматизация реагирования на инциденты по информационной безопасности
Участвуйте!

Еще темы...

More...