Badacze stwierdzili również, że aplikacja do zdjęć, która pomaga użytkownikom porządkować zdjęcia, zapewnia łatwy dostęp niezależnie od tego, czy klienci podłączają swoje urządzenie NAS bezpośrednio do Internetu, czy za pośrednictwem usługi QuickConnect firmy Synology, która umożliwia użytkownikom zdalny dostęp do serwera NAS z dowolnego miejsca. Gdy atakujący znajdą jeden serwer Synology NAS połączony z chmurą, mogą z łatwością zlokalizować inne dzięki sposobowi, w jaki systemy są rejestrowane i przypisywane identyfikatory.
„Wiele tych urządzeń jest podłączonych do chmury prywatnej za pośrednictwem usługi QuickConnect i na nich również można wykorzystać, więc nawet jeśli nie udostępnisz ich bezpośrednio w Internecie, możesz je wykorzystać [the devices] za pośrednictwem tej usługi, a są to urządzenia rzędu milionów” – mówi Wetzels.
Badaczom udało się zidentyfikować podłączone do chmury serwery Synology NAS należące do wydziałów policji w Stanach Zjednoczonych i Francji, a także dużej liczby firm prawniczych z siedzibą w USA, Kanadzie i Francji, a także operatorów ładunków i zbiorników na ropę w Australii i Australii. Korea Południowa. Znaleziono nawet egzemplarze należące do wykonawców zajmujących się konserwacją w Korei Południowej, Włoszech i Kanadzie, którzy pracują w sieciach energetycznych oraz w przemyśle farmaceutycznym i chemicznym.
„Są to firmy, które przechowują dane korporacyjne… dokumenty zarządcze, dokumenty inżynieryjne, a w przypadku kancelarii prawnych także akta spraw” – zauważa Wetzels.
Naukowcy twierdzą, że oprogramowanie ransomware i kradzież danych nie są jedynymi problemami związanymi z tymi urządzeniami — napastnicy mogą również przekształcić zainfekowane systemy w botnet, który będzie obsługiwał i ukrywał inne operacje hakerskie, takie jak masowy botnet, który hakerzy Volt Typhoon z Chin zbudowali z zainfekowanych routerów domowych i biurowych, aby ukryć swoje operacje szpiegowskie.
Firma Synology nie odpowiedziała na prośbę o komentarz, ale na stronie internetowej firmy zamieściła dwie takie informacje porady dotyczące bezpieczeństwa odniósł się do problemu 25 października, nazywając tę lukę „krytyczną”. Doradztwo, które potwierdził, że luka została odkryta w ramach Pwn2Own konkursu wskazują, że firma wydała łaty usuwające tę lukę. Urządzenia NAS firmy Synology nie mają jednak możliwości automatycznej aktualizacji i nie jest jasne, ilu klientów wie o łatce i ją zastosowało. Dzięki wypuszczeniu łatki atakujący mogą łatwiej znaleźć lukę w zabezpieczeniach i zaprojektować exploita atakującego urządzenia.
„Znalezienie tego nie jest łatwe [the vulnerability] samodzielnie”, Meijer mówi WIRED, „ale dość łatwo jest rozgryźć i połączyć kropki, kiedy łatka zostanie faktycznie wydana, a następnie dokona się inżynierii wstecznej łatki”.