Hace unos días, numerosos usuarios de discos duros conectados a Internet de la firma Western Digital se encontraron con sus dispositivos completamente borrados. Un problema que obviamente ganó mucha notoriedad incluso en España debido al hecho de que los datos de miles de usuarios se borraran de improvisto.
Ahora, todo apunta a que esto se podría haber debido a una guerra entre hackers. Según recoge Ars Technica, existe la teoría de que el borrado de estos discos duros se debió a un rifirrafe entre ciberdelincuentes, que aprovecharon las vulnerabilidades de los NAS para 'pelearse' entre sí.
Si bien no es la confirmación oficial, sí que se ha descubierto cuál ha sido el origen de todos estos problemas. La naturaleza de este origen ha sido el detonante de la teoría de los dos hackers, ya que es una de las pocas explicaciones posibles.
¿Qué pasó?
El fallo afectó a los NAS, discos duros conectados a la red WD MyBook Live. El pasado 23 de julio, multitud de usuarios de estos dispositivos se vieron con que sus discos duros estaban formateados. Todo el contenido guardado, equivalente a petabytes de información, borrado. Tras una investigación por parte de Western Digital, se esclarecieron algunas cuestiones.
Hay que aclarar que estos NAS eran del año 2015, y ya no recibían ningún tipo de actualización. Los investigadores que han hecho hincapié en el caso han descubierto que estos sistemas sufrían una vulnerabilidad que podía provocar el potencial borrado de datos. Se supo, posteriormente, que los hackers habían ejecutado comandos de forma remota para restablecer de fábrica estos aparatos, borrando todos los datos.
Aplicando un script específico, se conseguía el restablecimiento de fábrica. Este pedía forzosamente aplicar una contraseña establecida por el usuario. La clave del borrado reside en que en el código de estos dispositivos había un error de programación que impedía que el código encargado de solicitar esas contraseñas se activara.
No obstante, para realizar el hackeo, se valieron de otra vulnerabilidad que ya estaba presente en los sistemas y que además les daba control total a los atacantes sobre los discos duros, siendo el único requisito para ejecutar el código remoto la dirección IP de los NAS, algo bastante sencillo para estos ciberdelincuentes. Y es aquí donde entra la teoría de los dos grupos de hackers.
Guerra hacker
La segunda vulnerabilidad que permitía acceso total a los dispositivos NAS se asignó como CVE-2018-18472. Como su nombre de código indica, se descubrió en 2018, y fue reconocida por la propia Western Digital. Para aquel entonces, el MyBook Live ya tenía 3 años en el mercado, y por ende, este problema no se arregló jamás.
Según recoge Ars Technica, algunos de los discos hackeados con CVE-2018-18472 estaban infectados con malware, que buscaba ejecutarse en el hardware de los dispositivos NAS. La idea, según se ha descubierto en base a este malware, era formar una red de bots para lanzar ataques de denegación de servicio o DDoS, llamada "Linux.Ngioweb".
Y es que la clave está en que CVE-2018-18472 ya era suficiente para acceder a todo el sistema NAS. La teoría radica en que un primer hacker (o grupo de hackers) consiguió hacerse con el control de estos NAS y posteriormente un segundo hacker intentó aprovechar esta oportunidad para formar la botnet de DDoS. Con el acceso a los discos, un atacante podría haber robado muchos más datos, por lo que no era necesario realizar ese comando de restablecimiento de fábrica.
El argumento principal sobre el que se sostiene esta teoría es que el primer hacker habría intentando proteger mediante contraseñas los discos de una actualización por parte de Western Digital que parcheara el problema. Es por ello por lo que, probablemente, el segundo hacker ejecutara el comando para borrar los discos para o bien controlar todos los discos duros o para atacar a su 'rival'.
Por supuesto, esta es una simple teoría, pero desde luego es la más lógica respecto a este extraño suceso. Afortunadamente, el problema ya ha sido resuelto, aunque este suceso ha dejado al descubierto la problemática de dejar al aire dispositivos vulnerables o el uso de aparatos ya obsoletos conectados a Internet y que contengan información privada.