एक पूर्व अज्ञात रूटकिट को हेवलेट-पैकार्ड एंटरप्राइज के इंटीग्रेटेड लाइट्स-आउट (लो) इन-द-वाइल्ड हमलों को अंजाम देने के लिए सर्वर प्रबंधन तकनीक जो फर्मवेयर मॉड्यूल के साथ छेड़छाड़ करती है और संक्रमित सिस्टम से डेटा को पूरी तरह से मिटा देती है।

खोज, जो कि आईएलओ फर्मवेयर में वास्तविक दुनिया के मैलवेयर का पहला उदाहरण है, इस सप्ताह ईरानी साइबर सुरक्षा फर्म अम्नपर्दाज़ द्वारा प्रलेखित किया गया था।

“आईएलओ के कई पहलू हैं जो इसे मैलवेयर और एपीटी समूहों के लिए एक आदर्श यूटोपिया बनाते हैं: अत्यधिक उच्च विशेषाधिकार (ऑपरेटिंग सिस्टम में पहुंच के किसी भी स्तर से ऊपर), हार्डवेयर तक बहुत निम्न-स्तरीय पहुंच, पूरी तरह से दृष्टि से बाहर होना व्यवस्थापक, और सुरक्षा उपकरण, आईएलओ का निरीक्षण करने और/या इसकी रक्षा करने के लिए ज्ञान और उपकरणों की सामान्य कमी, ऑपरेटिंग सिस्टम को बदलने के बाद भी मैलवेयर के बने रहने के लिए यह दृढ़ता प्रदान करता है, और विशेष रूप से हमेशा चल रहा है और कभी बंद नहीं हो रहा है, ” शोधकर्त्ता कहा.

स्वचालित GitHub बैकअप

सर्वरों के प्रबंधन के अलावा, यह तथ्य कि आईएलओ मॉड्यूल की सर्वर पर स्थापित सभी फर्मवेयर, हार्डवेयर, सॉफ्टवेयर और ऑपरेटिंग सिस्टम (ओएस) तक व्यापक पहुंच है, उन्हें एचपी सर्वर का उपयोग करने वाले संगठनों को भंग करने के लिए एक आदर्श उम्मीदवार बनाते हैं, जबकि मैलवेयर को भी सक्षम बनाते हैं। रिबूट के बाद दृढ़ता बनाए रखें और ओएस पुनर्स्थापन से बचे। हालाँकि, नेटवर्क के बुनियादी ढांचे में घुसपैठ करने और वाइपर को तैनात करने के लिए उपयोग किए जाने वाले सटीक तौर-तरीके अभी तक अज्ञात हैं।

डब आईएलओब्लीड, रूटकिट को 2020 से हमलों में उपयोग करने के लिए रखा गया है ताकि फर्मवेयर के अपडेट को चुपके से बाधित करने के लिए कई मूल फर्मवेयर मॉड्यूल में हेरफेर किया जा सके। विशेष रूप से, फर्मवेयर रूटीन में किए गए संशोधन फर्मवेयर अपग्रेड प्रक्रिया का अनुकरण करते हैं – सही फर्मवेयर संस्करण को प्रदर्शित करके और प्रासंगिक लॉग जोड़कर – जब वास्तव में कोई अपडेट नहीं किया जाता है।

“यह अकेले दिखाता है कि इस मैलवेयर का उद्देश्य अधिकतम चुपके के साथ रूटकिट होना और सभी सुरक्षा निरीक्षणों से छिपाना है,” शोधकर्ताओं ने कहा। “एक मैलवेयर, जो सबसे शक्तिशाली प्रसंस्करण संसाधनों में से एक (जो हमेशा चालू रहता है) में छिपकर, किसी हमलावर से प्राप्त किसी भी आदेश को बिना पता लगाए निष्पादित करने में सक्षम है।”

एचपी रूटकिट डेटा वाइपिंग अटैक

हालांकि विरोधी अज्ञात रहता है, अम्नपर्दाज़ ने रूटकिट को एक उन्नत लगातार खतरे (एपीटी) के काम के रूप में वर्णित किया, एक राष्ट्र-राज्य या राज्य-प्रायोजित समूह जो अनधिकृत पहुंच प्राप्त करने के लिए निरंतर, गुप्त और परिष्कृत हैकिंग तकनीकों को नियोजित करता है। प्रणाली और ध्यान आकर्षित किए बिना लंबे समय तक अंदर रहना।

डेटा उल्लंघनों को रोकें

यदि कुछ भी हो, तो विकास एक बार फिर से फर्मवेयर सुरक्षा को तेज फोकस में लाता है, यह आवश्यक है कि निर्माता द्वारा भेजे गए फर्मवेयर अपडेट को संभावित जोखिमों को कम करने के लिए तुरंत लागू किया जाता है, आईएलओ नेटवर्क को ऑपरेटिंग नेटवर्क से विभाजित किया जाता है, और यह कि फर्मवेयर की समय-समय पर संक्रमण के संकेतों के लिए निगरानी की जाती है। .

“एक और महत्वपूर्ण बिंदु यह है कि नेटवर्क और होस्ट ऑपरेटिंग सिस्टम दोनों के माध्यम से आईएलओ तक पहुंचने और संक्रमित करने के तरीके हैं,” शोधकर्ताओं ने नोट किया। “इसका मतलब यह है कि भले ही आईएलओ नेटवर्क केबल पूरी तरह से डिस्कनेक्ट हो गया हो, फिर भी मैलवेयर से संक्रमण की संभावना है। दिलचस्प बात यह है कि अगर इसकी आवश्यकता नहीं है तो आईएलओ को पूरी तरह से बंद या अक्षम करने का कोई तरीका नहीं है।”

.


Source link

LEAVE A REPLY

Please enter your comment!
Please enter your name here