Ερευνητές ανακάλυψαν μια νέα hacking επίθεση, η οποία έχει ως αποτέλεσμα τη μόλυνση χιλιάδων NAS (network-attached storage) συσκευών της εταιρείας QNAP. Για τη μόλυνση των συσκευών, οι hackers χρησιμοποίησαν ένα νέο κακόβουλο λογισμικό, που ονομάζεται QSnatch.
Σύμφωνα με μια ομάδα Γερμανών ειδικών, έχουν παρατηρηθεί πάνω από 7.000 μολύνσεις, μόνο στη Γερμανία. Οι ερευνητές πιστεύουν πως έχουν γίνει χιλιάδες άλλες μολύνσεις σε όλο τον κόσμο και ότι οι επιθέσεις είναι υπό εξέλιξη.
Προς το παρόν, δεν υπάρχουν πολλές λεπτομέρειες σχετικά με το πώς λειτουργεί το Qsnatch. Το κακόβουλο λογισμικό ανακαλύφθηκε από το Εθνικό Κέντρο Cybersecurity της Φινλανδίας (NCSC-FI) την περασμένη εβδομάδα.
Οι ερευνητές του NCSC-FI δεν έχουν ακόμη ανακαλύψει τον τρόπο με τον οποίο το Qsnatch εξαπλώνεται και μολύνει τα QNAP NAS συστήματα. Από τη στιγμή που θα αποκτήσει πρόσβαση σε μια συσκευή, το QSnatch εισχωρεί στο firmware για να κερδίσει reboot persistence.
Windows 10 τέλος, απομένει μόλις ένας χρόνος υποστήριξης
Κομήτης θα κάνει μια θεαματική προσέγγιση τον Οκτώβριο
Εκτόξευση του Europa Clipper για ανίχνευση ζωής στην Ευρώπη!
Οι ερευνητές έκαναν μια πρώτη ανάλυση του κώδικα του Qsnatch και διαπίστωσαν τις εξής δυνατότητες:
- Τροποποίηση εργασιών και scripts (cronjob, init scripts)
- Αποτροπή μελλοντικών ενημερώσεων του firmware
- Αποτροπή της λειτουργίας της εγγενούς εφαρμογής QNAP MalwareRemover
- Κλοπή ονόματος χρήστη και κωδικών πρόσβασης για όλους τους χρήστες NAS
Ωστόσο, οι παραπάνω δυνατότητες δείχνουν μόνο τι μπορεί να κάνει το κακόβουλο λογισμικό. Οι ερευνητές δεν έχουν ανακαλύψει ακόμα τον τελικό του στόχο. Το Qsnatch θα μπορούσε να χρησιμοποιείται για την πραγματοποίηση επιθέσεων DDoS, για cryptomining, ή ως backdoor στις συσκευές QNAP για την κλοπή ευαίσθητων δεδομένων ή για την εγκατάσταση κακόβουλων payloads (για μελλοντικές επιθέσεις).
Κάποιοι αναλυτές πιστεύουν ότι οι χειριστές του QSnatch βρίσκονται ακόμα στη φάση κατασκευής του botnet και ότι θα αναπτύξουν άλλες λειτουργίες στο μέλλον.
Προς το παρόν, ο μόνος τρόπος αφαίρεσης του Qsnatch είναι η πραγματοποίηση επαναφοράς εργοστασιακών ρυθμίσεων της συσκευής NAS.
Κάποιοι έχουν αναφέρει ότι η εγκατάσταση της ενημερωμένης έκδοσης QNAP NAS firmware του Φεβρουαρίου του 2019 μπορεί, επίσης, να αντιμετωπίσει το πρόβλημα. Ωστόσο, αυτή η αναφορά δεν έχει επιβεβαιωθεί ακόμα από τους ειδικούς.
Επομένως, οι χρήστες των QNAP NAS συσκευών θα πρέπει, προς το παρόν, να αποσυνδέσουν τις συσκευές τους από το διαδίκτυο.
Ακολουθούν και κάποιες άλλες συμβουλές για τη μείωση των επιπτώσεων μιας μόλυνσης από το QSnatch:
- Αλλαγή όλων των κωδικών πρόσβασης σε όλους τους λογαριασμούς στη συσκευή
- Κατάργηση άγνωστων λογαριασμών από τη συσκευή
- Ενημέρωση του firmware και όλων των εφαρμογών
- Αφαίρεση εφαρμογών που προέρχονται από άγνωστη πηγή ή δεν χρησιμοποιούνται συχνά
- Εγκατάσταση της εφαρμογής QNAP MalwareRemover μέσω του App Center
- Ορισμός μιας λίστας ελέγχου πρόσβασης για τη συσκευή (Πίνακας ελέγχου -> Ασφάλεια -> Επίπεδο ασφάλειας)
Το QSnatch είναι το τέταρτο κακόβουλο λογισμικό που μολύνει συσκευές NAS φέτος. Προηγουμένως, ένα ransomware είχε επηρεάσει τις συσκευές Synology και τα ransomware eCh0raix και Muhstik είχαν, επίσης, μολύνει συσκευές QNAP.