Удаление пользовательских данных с WD My Book Live могло стать косвенным ущербом в результате хакерских разборок

Как сообщалось ранее, владельцы сетевых хранилищ информации WD My Book Live столкнулись с крайне неприятной ситуацией - с их устройств пропали практически все данные. Тогда компания WD сообщила, что потеря данных является результатом работы «вредоносного программного обеспечения». А теперь этот инцидент начал обрастать подробностями.

По данным ресурса Ars Technica, похоже, что на прошлой неделе могло быть использовано несколько эксплойтов для массового удаления данных с сетевых хранилищ WD My Book Live. Изначально предполагалось, что атака осуществлялась с использованием известного эксплойта 2018 года, который позволял получить root-доступ к устройству. Однако похоже, что этим дело не ограничилось.

Второй эксплойт, о котором сообщает Ars Technica, не дает злоумышленнику полного контроля над устройством. Но он позволяет удаленно стереть данные с устройства, даже не зная пароля. Причем, WD знала об этой уязвимости и даже пыталась устранить ее, но в конечном итоге так и не сделала этого. Как оказалось, в программном обеспечении WD My Book Live был код, который мог бы предотвратить такое удаление данных. Однако код был закомментирован (или деактивирован) компанией WD, так как он приводил к возникновению других проблем - из-за него программное обеспечение не запускало аутентификацию при запросе сброса настроек до заводских.

WD прекратила поддержку устройств My Book Live в 2015 году. Таким образом, эксплойт существовал в этих хранилищах с тех пор и никак не использовался. Остается открытым вопрос, почему хакеры решили воспользоваться им сейчас и сбросить устройства к заводским настройкам. На основании данных анализа компании Censys, ресурс Ars Technica высказывает предположение, почему это могло произойти. Предполагается, что владельцы WD My Book Live могли стать жертвами хакерских разборок - один владелец ботнета потенциально пытался захватить или нарушить работу другого. Один хакер (или группа хакеров) использовал известный эксплойт для управления устройствами с нечестивыми целями. Затем другой хакер (или группа) использовал неизвестный эксплойт удаленного стирания данных, чтобы очистить эти устройства. Очевидно, это лишило бы первого хакера доступа к оборудованию, но данные пользователей попали под перекрестный огонь и были удалены. Эта теория выглядит логично, так как злоумышленникам, которые уже используют первый эксплойт и имеют root-доступ к устройствам, нет смысла сбрасывать их к заводским настройкам и терять контроль над хранилищами.

Со своей стороны, WD подтвердила, что оба эксплойта использовались, по крайней мере, в некоторых случаях. Компания заявила, что «непонятно, почему злоумышленники воспользовались обеими уязвимостями», но отметила, что обновит свои рекомендации по безопасности в отношении второго эксплойта.

А пока что владельцам WD My Book Live с непострадавшими данными рекомендуется отключить устройства от интернета.