Sebuah perusahaan keamanan siber Iran mengatakan telah menemukan rootkit pertama dari jenisnya yang bersembunyi di dalam firmware perangkat HP iLO dan yang telah digunakan dalam serangan dunia nyata untuk menghapus server organisasi Iran.
Dinamakan iLOBleed, rootkit ditemukan oleh perusahaan keamanan Teheran Amnpardaz dan dirinci dalam sebuah laporan yang dirilis pada hari Selasa.
iLOBleed menargetkan HP iLO (Integrated Lights-Out), Perangkat iLO dilengkapi dengan unit prosesor, ruang penyimpanan, RAM, dan kartu jaringannya sendiri serta dijalankan secara terpisah dari sistem operasi lokal mana pun.
Peran utama mereka adalah menyediakan cara bagi administrator sistem untuk terhubung ke sistem jarak jauh, bahkan ketika sistem ini dimatikan, dan melakukan operasi pemeliharaan, seperti memperbarui firmware, menginstal pembaruan keamanan, atau menginstal ulang sistem yang rusak.
Amnpardaz mengatakan bahwa sejak tahun 2020, pihaknya menyelidiki beberapa insiden di mana aktor ancaman misterius mengkompromikan target dan bersembunyi di dalam iLO sebagai cara untuk bertahan dari penginstalan ulang OS dan mempertahankan kegigihan di dalam jaringan korban.
Untuk menghindari deteksi, para peneliti mengatakan penyerang menyamarkan rootkit iLOBleed sebagai modul untuk firmware iLO itu sendiri, dan penyerang juga membuat UI pembaruan palsu untuk ditunjukkan kepada administrator sistem ketika mereka mencoba memperbarui firmware iLO.
Bahkan jika rootkit memberikan kontrol penuh atas host yang terinfeksi, penyerang tampaknya hanya menggunakannya untuk menghapus sistem yang terinfeksi sebagai bagian dari semacam operasi penghapusan data.
“Ketika tim analisis keamanan kami menemukan malware, penyerang telah memutuskan untuk menghapus disk server dan sepenuhnya menyembunyikan jejak mereka,” tim Amnpardaz menjelaskan.
“Menariknya, penyerang tidak puas dengan penghancuran satu kali dan mengatur malware untuk berulang kali melakukan penghancuran data secara berkala. Mungkin mereka berpikir bahwa jika administrator sistem menginstal ulang sistem operasi, seluruh hard drive akan hancur lagi setelah beberapa saat. Jelas, mereka tidak mengira malware mereka akan ditemukan.”
Baik Amnpardaz dan anggota komunitas keamanan siber telah menggambarkan rootkit iLO sebagai karya tercanggih dan kemungkinan besar merupakan karya aktor ancaman yang sangat maju. Aktor itu sendiri tidak diidentifikasi dalam laporan Amnpardaz atau dalam percakapan online apa pun.
Sementara laporan Amnpardaz mengungkap keberadaan malware ini, masih ada pertanyaan tentang bagaimana awalnya digunakan. Teori yang berlaku saat ini mencakup skenario di mana penyerang memasuki jaringan korban melalui saluran lain dan kemudian menggunakan iLOBleed sebagai pintu belakang (mekanisme ketekunan), baik dengan mengeksploitasi kerentanan dalam firmware iLO lama atau dengan memperluas akses dari host yang terinfeksi ke kartu iLO-nya, jika ada .
Penemuan iLOBleed merupakan terobosan dan pencapaian, terutama karena hanya ada sedikit alat dan produk keamanan yang mampu mendeteksi aktivitas malware di tingkat iLO—komponen yang beroperasi lebih dalam daripada OS itu sendiri, biarkan produk keamanan tunggal.
Selengkapnya : The Record Media
