Οι υπηρεσίες ασφάλειας στον κυβερνοχώρο από το Ηνωμένο Βασίλειο και τις ΗΠΑ εξέδωσαν μια κοινή προειδοποίηση σχετικά με το QSnatch malware, που μολύνει NAS συσκευές από την ταϊβανέζικη εταιρεία QNAP.

Οι ειδοποιήσεις της CISA (ΗΠΑ) και του NCSC (Ηνωμένο Βασίλειο) αναφέρουν ότι οι επιθέσεις με το QSnatch malware εντοπίστηκαν πρώτη φορά το 2014, αλλά τον τελευταίο χρόνο έχουν αυξηθεί σημαντικά. Τον Οκτώβριο του 2019 είχαν εντοπιστεί 7.000 επιθέσεις σε QNAP NAS συσκευές. Μέχρι τον Ιούνιο του 2020, ο αριθμός των μολύνσεων έφτασε τις 62.000.

Η CISA και το NSCS λένε ότι περίπου 7.600 από αυτές τις μολυσμένες συσκευές βρίσκονται στις ΗΠΑ και περίπου 3.900 στο Ηνωμένο Βασίλειο.

“Η πρώτη εκστρατεία πιθανότατα ξεκίνησε στις αρχές του 2014 και συνεχίστηκε μέχρι τα μέσα του 2017, ενώ η δεύτερη ξεκίνησε στα τέλη του 2018 και ήταν ακόμη ενεργή στα τέλη του 2019”, αναφέρουν οι δύο οργανισμοί.

Το Qsnatch malware έχει δυνατότητες εξαγωγής/κλοπής δεδομένων

Η CISA και το NCSC λένε ότι οι δύο εκστρατείες παραβίασης QNAP NAS συσκευών, χρησιμοποίησαν διαφορετικές εκδόσεις του QSnatch malware (είναι γνωστό και με το όνομα Derek).

Η ειδοποίηση των οργανισμών εστιάζει στην τελευταία έκδοση, που χρησιμοποιήθηκε στις πιο πρόσφατες επιθέσεις. Σύμφωνα με την κοινή ειδοποίηση, αυτή η νέα έκδοση του QSnatch έρχεται με πολλά εξελιγμένα χαρακτηριστικά, όπως:

  • CGI password logger: Αυτό εγκαθιστά μια ψεύτικη έκδοση της σελίδας σύνδεσης διαχειριστή της συσκευής, καταγράφει ελέγχους ταυτότητας και κωδικούς και έπειτα τους μεταφέρει στη νόμιμη σελίδα σύνδεσης.
  • Κλοπή credentials
  • SSH backdoor: Αυτό επιτρέπει στον επιτιθέμενο να εκτελεί κώδικα σε μια συσκευή.
  • Εξαγωγή/κλοπή δεδομένων: Το QSnatch κλέβει μια προκαθορισμένη λίστα αρχείων, η οποία περιλαμβάνει διαμορφώσεις συστήματος και αρχεία καταγραφής. Αυτά κρυπτογραφούνται με το δημόσιο κλειδί του επιτιθέμενου και αποστέλλονται στην υποδομή του μέσω HTTPS.
  • Webshell για απομακρυσμένη πρόσβαση

Ωστόσο, ενώ οι εμπειρογνώμονες της CISA και του NCSC κατάφεραν να αναλύσουν την τρέχουσα έκδοση του QSnatch, δεν έχουν ακόμα ανακαλύψει πώς το malware μολύνει τις QNAP NAS συσκευές στο αρχικό στάδιο.

Οι εισβολείς μπορεί να εκμεταλλεύονται ευπάθειες στο QNAP firmware ή να χρησιμοποιούν προεπιλεγμένους κωδικούς πρόσβασης για τον λογαριασμό διαχειριστή. Ωστόσο, κανένα από αυτά δεν έχει επιβεβαιωθεί.

Αλλά μόλις οι επιτιθέμενοι αποκτήσουν πρόσβαση, το QSnatch διεισδύει στο firmware, από όπου παίρνει τον πλήρη έλεγχο της συσκευής, και στη συνέχεια αποκλείει μελλοντικές ενημερώσεις του firmware για να επιβιώσει στις QNAP NAS συσκευές.

Η CISA και το NCSC προτρέπουν τις εταιρείες να ενημερώσουν άμεσα τις QNAP NAS συσκευές.

Οι δύο οργανισμοί λένε ότι οι servers της ομάδας πίσω από το QSnatch είναι πλέον εκτός λειτουργίας, αλλά υπάρχουν ακόμα μολυσμένες συσκευές.

Οι εταιρείες και οι οικιακοί χρήστες που χρησιμοποιούν QNAP NAS συσκευές πρέπει να ακολουθήσουν βήματα αποκατάστασης και μετριασμού που αναφέρονται στη σελίδα υποστήριξης της ταϊβανέζικης εταιρείας, για να απαλλαγούν από το QSnatch και να αποτρέψουν μελλοντικές μολύνσεις.