การแฮ็ก WD: การต่อสู้ของแฮ็กเกอร์ลบฮาร์ดไดรฟ์นับพันตัว

ไม่กี่วันที่ผ่านมาเราได้พบกับหนึ่งใน แฮ็คที่ร้ายแรงที่สุด เราจำได้ในปีที่ ฮาร์ดไดรฟ์ภายนอก WD My Book Live ด้วย การเชื่อมต่ออินเทอร์เน็ต ถูกแฮ็กและข้อมูลของพวกเขาถูกลบอย่างสมบูรณ์ ฮาร์ดไดรฟ์เครือข่ายเหล่านี้ (ใน) ที่ได้รับ โดยไม่ต้องอัปเดตการสนับสนุน มาตั้งแต่ปี 2015 ทำให้พวกเขาเปราะบาง อย่างไรก็ตาม กรณีนี้ซับซ้อนกว่ามาก และเป็นการต่อสู้ระหว่างแฮกเกอร์ที่นำไปสู่การลบนี้

เมื่อวันที่ 23 กรกฎาคม ผู้ใช้ WD จำนวนมากเริ่มบ่นว่าข้อมูลในฮาร์ดไดรฟ์ของพวกเขาถูกลบไปแล้ว เมื่อตรวจสอบบันทึกการลบ บางคนพบว่ามีคนสั่งการจากระยะไกลเพื่อรีเซ็ตเนื้อหาทั้งหมดของฮาร์ดไดรฟ์ โดยไม่ต้องขอรหัสผ่านใดๆ

การแฮ็ก WD: การต่อสู้ของแฮ็กเกอร์ลบฮาร์ดไดรฟ์นับพันตัว

สามารถรีเซ็ตได้โดยไม่ต้องใช้รหัสผ่าน

หลังจากวิเคราะห์เหตุการณ์แล้ว นักวิจัยด้านความปลอดภัยได้ค้นพบช่องโหว่ในระบบการกู้คืนไฟล์ โดยที่ สคริปต์ PHP ดำเนินการ โรงงาน รีเซ็ตและลบข้อมูลทั้งหมด โดยปกติแล้ว ฟังก์ชันดังกล่าวจะต้องป้อนรหัสผ่านยืนยัน แต่เมื่อตรวจสอบโค้ดแล้ว พวกเขาพบว่าบรรทัดของโค้ดที่ขอรหัสผ่านถูกใส่เครื่องหมายกำกับไว้ด้วย // ในตอนเริ่มต้น ดังนั้นจึงไม่ถูกเรียกใช้งาน

นั่นเป็นส่วนหนึ่งของช่องโหว่ และในการดำเนินการดังกล่าว พวกเขาต้องใช้ประโยชน์จากช่องโหว่อื่นที่มีอยู่ ผู้โจมตีทำได้ง่ายเหมือนกับไปที่ช่องโหว่ที่นักวิจัยสองคนชื่อ Paulos Yibelo และ Daniel Eshetu ค้นพบในปี 2018 ช่องโหว่ดังกล่าวได้รับการยอมรับจาก Western Digital และกำหนดรหัส CVE-2018-18472 .

อย่างไรก็ตาม เนื่องจากพวกเขาไม่รองรับโมเดลเหล่านั้นอีกต่อไป พวกเขาจึงไม่เคยทำการแพตช์มัน ทำให้ผู้โจมตีที่ค้นพบมันสามารถใช้ประโยชน์จากมันได้ การทำเช่นนี้ผู้โจมตีจะต้องเท่านั้น ทราบที่อยู่ IP ของอุปกรณ์ที่ได้รับผลกระทบ กำลังดำเนินการเรียกใช้โค้ดจากระยะไกล

ที่น่าสนใจคือด้วยช่องโหว่ CVE-2018-18472 ผู้โจมตีสามารถเข้าถึงอุปกรณ์ได้อย่างเต็มที่และไม่จำเป็นต้องใช้ประโยชน์จากช่องโหว่ที่สอง ทฤษฎีที่อยู่เบื้องหลังนี้คือแฮ็กเกอร์คนแรกใช้ประโยชน์จาก CVE-2018-18472 และแฮ็กเกอร์คู่ต่อสู้พยายามดำเนินการช่องโหว่อื่น ๆ เพื่อควบคุมอุปกรณ์อื่น ๆ และทำให้พวกเขาเป็นส่วนหนึ่งของบ็อตเน็ตที่ควบคุมโดยพวกเขา

การต่อสู้ของแฮ็กเกอร์ คำอธิบายที่สมเหตุสมผลที่สุด

แฮ็กเกอร์คนแรกที่แก้ไขไฟล์บนฮาร์ดไดรฟ์เพื่อใส่รหัสผ่านที่สอดคล้องกับแฮช 56f650e16801d38f47bb0eeac39e21a8142d7da1 ซึ่งในข้อความธรรมดาคือ p$EFx3tQWoUbFc%B%R$k@ . พวกเขายังใช้รหัสผ่านอื่น ๆ บนอุปกรณ์และไฟล์อื่น ๆ เพื่อเป็นการป้องกันในกรณีที่ WD เผยแพร่การอัปเดตที่แก้ไขไฟล์ที่มีช่องโหว่ครั้งแรก

ฮาร์ดไดรฟ์บางตัวที่ถูกแฮ็กโดยใช้ CVE-2018-18472 ก็ติดมัลแวร์ที่เรียกว่า nttpd, 1-ppc-be-t1-z ซึ่งถูกเขียนขึ้นเพื่อรันบน ฮาร์ดแวร์ PowerPC ใช้โดยอุปกรณ์ WD เหล่านี้ ด้วยมัลแวร์นี้ ฮาร์ดไดรฟ์จึงกลายเป็นส่วนหนึ่งของบ็อตเน็ตที่เรียกว่า ลินุกซ์.งิโอเว็บ ซึ่งสามารถเปิดการโจมตี DDoS ได้

ดังนั้นจึงสมเหตุสมผลที่แฮ็กเกอร์คนที่สองต้องการควบคุมอุปกรณ์หรือเพียงแค่ แฮ็กเกอร์คู่แข่งรายนี้ และรันคำสั่งไปที่ รีเซ็ตฮาร์ดไดรฟ์ . ด้วยเหตุนี้ เจ้าของของพวกเขาจึงได้ค้นพบว่าพวกเขาถูกแฮ็ก มิฉะนั้น พวกเขาอาจขโมยข้อมูลมากกว่านี้จากฮาร์ดไดรฟ์เหล่านั้นได้ ดังนั้นจึงเป็นสิ่งสำคัญมากที่จะยกเลิกการเชื่อมต่ออุปกรณ์เหล่านี้จากอินเทอร์เน็ตและใช้เป็นฮาร์ดไดรฟ์ในเครื่อง อุปกรณ์รุ่นใหม่ของ WD ไม่ได้รับผลกระทบจากข้อบกพร่องเหล่านี้ ดังนั้นเจ้าของจึงสามารถหายใจได้สะดวก