Пропаже данных с сетевых хранилищ нашлось объяснение

Обнаружились удивительные подробности масштабной атаки на персональные внешние жесткие диски компании Western Digital. Не исключено, что их владельцы, потерявшие все свои данные, стали жертвами сразу двух хакерских группировок.

На прошлой неделе люди по всему миру потеряли петабайты данных: сетевые накопители модели My Book Live внезапно начали откатываться до заводских настроек, старательно стирая все, что на них было записано. Тогда представители Western Digital посоветовали отключить диски от интернета и заговорили о хакерской атаке, а теперь уже независимые исследователи выяснили, что возможность удаленно и без ведома владельца обнулить устройство была заложена изначально.

В прошивке просто не было модуля, который запрашивает имя пользователя и пароль при попытке вернуть накопитель в исходное состояние. Точнее, эта часть кода была прописана, но потом, по данным специалистов по безопасности, функция была почему-то просто отключена самими разработчиками. По какой причине — неведомо.

Все это не отменяет факта хакерской атаки, установлена и уязвимость, которой злоумышленники воспользовались, чтобы получить извне полный контроль над персональными накопителями по всей планете. Более того, как выяснилось, эта проблема безопасности прошивок от Western Digital известна с 2018 года, с тех пор не была исправлена, по крайней мере — в серии My Book Live.

По версии самой компании дело в том, что этим накопителям больше десяти лет, и последнее обновление безопасности они получили в 2015 году — за три года до публикации информации об уязвимости. Есть, правда, версия, что на самом деле о проблеме тогда уже было известно, но это теперь уже детали. Интереснее другое: как минимум на части взломанных жестких дисков безопасники обнаружили вредоносный код, написанный специально для этих устройств.

Код этот превращал накопитель в ботнет, то есть в зомби-устройство, которое по команде из центра выполняет какие-то действия — например, все одновременно отправляют запросы на один сайт, так получается DDoS-атака. А потом злоумышленники вдруг разрушили эту сеть и стерли все данные, причем, воспользовавшись прорехой в прошивке, хотя и без того имели полный доступ.

На данный момент есть версия, что это были две разные группы хакеров: одни создали ботнет, а другие его разрушили. Впрочем, пользователям, которые потеряли данные за последние десять лет, это, видимо, не очень интересно.