معركة بين مجموعتين من الهاكرز تتسبب في محو الآلاف من محركات الأقراص الثابتة

قبل أيام قليلة ، تمت أحد أخطر الاختراقات التي يمكن أن نتذكرها منذ سنوات ، حيث تم اختراق محركات الأقراص الصلبة الخارجية WD My Book Live المزودة باتصال بالإنترنت ، وتم مسح بياناتها تمامًا. كانت محركات الأقراص الصلبة للشبكة (NAS) بدون  تحديث منذ عام 2015 ، مما جعلها عرضة للخطر. ومع ذلك ، فإن القضية أكثر تعقيدًا ،  حيث أن القضية كانت سببها معركة بين  الهاكرز هي التي أدت إلى هذا الحذف.

في 23 يوليو ، بدأت حشود من مستخدمي WD في الشكوى من محو البيانات الموجودة على محركات الأقراص الثابتة الخاصة بهم. عند مراجعة سجل المسح ، اكتشف البعض أن شخصًا ما قد نفذ أمرًا عن بُعد لإعادة تعيين جميع محتويات محركات الأقراص الثابتة ، دون طلب أي نوع من كلمات المرور للقيام بذلك.

بعد تحليل الحدث ، اكتشف الباحثون الأمنيون ثغرة في نظام استعادة الملفات ، حيث يقوم نص PHP بإعادة ضبط المصنع ويحذف جميع البيانات. تتطلب هذه الوظيفة عادةً إدخال كلمة مرور للتأكيد ، ولكن عند مراجعة الرمز ، وجدوا أن سطور الكود التي تطلب كلمة المرور تم التعليق عليها بـ // في البداية ، لذلك لم يتم تنفيذها.

هذا جزء من الثغرة الأمنية ، ولتنفيذها كان عليهم الاستفادة من جزء آخر متاح. كان  الهاكرز يتعاملون بسهولة مع الثغرة الأمنية التي اكتشفها باحثان اسمهما Paulos Yibelo و Daniel Eshetu في عام 2018 وتم تعيينها بالرمز CVE-2018-18472.

ومع ذلك ، نظرًا لأنهم لم يعدوا يدعمون هذه النماذج ، لم يقوموا بتصحيحها مطلقًا ، مما يسمح لأي مهاجم اكتشفها والاستفادة منها. للقيام بذلك ، يجب على المهاجم فقط معرفة عنوان IP الخاص بالجهاز المتأثر ، والاستمرار في تنفيذ التعليمات البرمجية عن بُعد.

ومن المثير للاهتمام ، أنه مع وجود ثغرة أمنية   CVE-2018-18472 ، كان لدى المهاجمين بالفعل وصول كامل إلى الجهاز ، ولم يكونوا بحاجة إلى الاستفادة من الثانية. النظرية الكامنة وراء ذلك هي أن  الهاكر الأول استغل CVE-2018-18472 ، وحاول مخترق منافس لاحقًا تنفيذ الثغرة الأمنية الأخرى للسيطرة على الأجهزة الأخرى وجعلها جزءًا من الروبوتات التي يتحكم فيها.

في الواقع ، قام  الهاكر الأول بتعديل ملف على محركات الأقراص الثابتة لوضع كلمة مرور مطابقة للتجزئة 56f650e16801d38f47bb0eeac39e21a8142d7da1 ، والتي تكون في نص عادي هو p EFx3tQWoUbFc٪ B٪ R $ k @ استخدم أيضًا كلمات مرور أخرى على الأجهزة والملفات الأخرى كحماية في حالة قيام WD بإصدار تحديث قام بتصحيح الملف الأول المعرض للخطر.

تم أيضًا إصابة بعض محركات الأقراص الثابتة التي تم اختراقها باستخدام ثغرة  CVE-2018-18472 ببرامج ضارة تسمى .nttpd، 1-ppc-be-t1-z ، والتي تمت كتابتها للتشغيل على أجهزة PowerPC التي تستخدمها أجهزة WD هذه. مع هذه البرامج الضارة ، تصبح محركات الأقراص الثابتة جزءًا من شبكة بوت نت تسمى Linux.Ngioweb ، والتي يمكن من خلالها شن هجمات DDoS.

لذلك من المنطقي أن يكون  الهاك الثاني يريد التحكم في الجهاز أو مجرد  إبعاد  هذا الهاكر الأول المنافس ، وقام بتشغيل الأمر لإعادة ضبط محركات الأقراص الثابتة. بفضل هذا ، اكتشف أصحابها أنه قد تم اختراقهم ، وإلا كان بإمكانهم سرقة المزيد من البيانات من محركات الأقراص الثابتة هذه. لذلك ، من المهم جدًا فصل هذه الأجهزة عن الإنترنت واستخدامها كأقراص صلبة محلية. لا تتأثر أجهزة WD الأحدث بهذه العيوب ، لذا يمكن لأصحابها التنفس بسهولة.