На прошлой неделе люди по всему миру потеряли петабайты данных: сетевые накопители модели My Book Live внезапно начали откатываться до заводских настроек, старательно стирая все, что на них было записано. Тогда представители Western Digital посоветовали отключить диски от интернета и заговорили о хакерской атаке, а теперь уже независимые исследователи выяснили, что возможность удаленно и без ведома владельца обнулить устройство была заложена изначально.
В прошивке просто не было модуля, который запрашивает имя пользователя и пароль при попытке вернуть накопитель в исходное состояние. Точнее, эта часть кода была прописана, но потом, по данным специалистов по безопасности, функция была почему-то просто отключена самими разработчиками. По какой причине — неведомо.
Все это не отменяет факта хакерской атаки, установлена и уязвимость, которой злоумышленники воспользовались, чтобы получить извне полный контроль над персональными накопителями по всей планете. Более того, как выяснилось, эта проблема безопасности прошивок от Western Digital известна с 2018 года, с тех пор не была исправлена, по крайней мере — в серии My Book Live.
По версии самой компании дело в том, что этим накопителям больше десяти лет, и последнее обновление безопасности они получили в 2015 году — за три года до публикации информации об уязвимости. Есть, правда, версия, что на самом деле о проблеме тогда уже было известно, но это теперь уже детали. Интереснее другое: как минимум на части взломанных жестких дисков безопасники обнаружили вредоносный код, написанный специально для этих устройств.
Код этот превращал накопитель в ботнет, то есть в зомби-устройство, которое по команде из центра выполняет какие-то действия — например, все одновременно отправляют запросы на один сайт, так получается DDoS-атака. А потом злоумышленники вдруг разрушили эту сеть и стерли все данные, причем, воспользовавшись прорехой в прошивке, хотя и без того имели полный доступ.
На данный момент есть версия, что это были две разные группы хакеров: одни создали ботнет, а другие его разрушили. Впрочем, пользователям, которые потеряли данные за последние десять лет, это, видимо, не очень интересно.