Jak podał serwis ZDNET hakerzy zainfekowali tysiące urządzeń pamięci masowej podłączonych do sieci (NAS) od tajwańskiego dostawcy QNAP nową odmianą złośliwego oprogramowania o nazwie QSnatch.
Alarm bezpieczeństwa!
Alert dla administratorów, którzy mają w swoich firmach urządzenia QNAP. Urządzenia na całym świecie zostały zainfekowane złośliwym oprogramowaniem.
Zalecenia ze strony producenta:
– zaktualizuj QTS do najnowszej wersji.
– zainstaluj i zaktualizuj Security Counsellor do najnowszej wersji.
– zainstaluj i zaktualizuj narzędzie do usuwania złośliwego oprogramowania do najnowszej wersji.
– użyj silniejszego hasła administratora.
– włącz ochronę adresów IP i dostępu do konta, aby zapobiec atakom siłowym.
– wyłącz połączenia SSH i Telnet, jeśli nie korzystasz z tych usług.
– unikaj używania domyślnych numerów portów 443 i 8080.
Członkowie NCSC-FI nie odkryli jeszcze, w jaki sposób to nowe zagrożenie rozprzestrzenia się i infekuje systemy QNAP NAS; Jednak po uzyskaniu dostępu do urządzenia QSnatch zagłębia się w oprogramowanie układowe w celu uzyskania trwałości ponownego uruchamiania.
Analiza kodu złośliwego oprogramowania ujawniła następujące możliwości:
– Modyfikuje zadania czasowe i skrypty systemu operacyjnego (cronjob, skrypty init)
– Zapobiega przyszłym aktualizacjom oprogramowania układowego, zastępując adresy URL źródeł aktualizacji
– Zapobiega uruchomieniu natywnej aplikacji QNAP MalwareRemover
– Wyodrębnia i kradnie nazwy użytkowników i hasła dla wszystkich użytkowników NAS
Funkcje te opisują możliwości złośliwego oprogramowania, ale nie ujawniają jego końcowego celu. Nie jest jasne, czy QSnatch został opracowany do przeprowadzania ataków DDoS, przeprowadzania ukrytego wydobywania kryptowalut, czy po prostu jako sposób na backdoorowe urządzenia QNAP do wrażliwych kradzieży plików lub hostowania szkodliwego oprogramowania na potrzeby przyszłych operacji.