Специалистите от иранската компания Amnpardaz откриха първия по рода си руткит, който се скрива във фърмуера на устройствата HP iLO и се използва в реални атаки за изтриване на данни от сървърите на различните ирански организации. Въпреки че руткитът предоставя пълен контрол върху системата, хакерите са го използвали само за изтриване на данни.
Руткитът iLOBleed атакува HP iLO (Integrated Lights-Out) – специализираните хардуерни устройства за управление на сървъри без физически достъп до тях. iLO устройствата разполагат със собствен процесор, оперативна памет, дисково пространство, мрежова карта и работят отделно от инсталираните в сървърите операционни системи.
Главното предназначение на тези специализирани устройства е да осигурят на системните администратори надеждна връзка с отдалечените системи, за да могат да извършват необходимите операции по тяхното обслужване. Това са обновяване на фърмуерите, инсталиране на пачове по безопасността, преинсталиране на операционната система и т.н. Именно тези възможности направиха iLO картите едни от най-успешните корпоративни продукти за отдалечено управление на цели паркове компютри и за автоматично инсталиране на дискови образи на операционни системи в дата центровете.
В конкретния случай руткитът iLOBleed е маскиран като обновяване за iLO. Хакерите дори са направили фалшив интерфейс на обновяването, който показва на системните администратори, че е време за обновяване на iLO.