QSnatch
QSnatch-nimeltä haittaohjelmauhan tiedetään kohdistavan NAS (Network-Attached Storage) -laitteisiin, joita valmistaa Taiwanissa toimiva QNAP Systems, Inc. -yritys. Haittaohjelmatutkijat Suomen kansallisessa kyberturvallisuuskeskuksessa (NCSC-FI) havaitsivat ensimmäisenä tämän toiminnan. uusi uhka lokakuun puolivälissä 2019. Yksityiskohtainen analyysi keskuksen omistaman Autoreporter-palvelun toimittamista automaattisista raporteista antoi heidän mahdollisuuden paljastaa useita QSnatch-tartunnan saaneita tallennuslaitteita, jotka yrittivät muodostaa yhteyden etähallinto- ja hallintajärjestelmiin (Command & Control). Vaikka suomalaiset asiantuntijat uskoivat alun perin tekevänsä MS Windows-räätälöityjä Caphaw-haittaohjelmia, C2-viestinnän perusteellinen tarkastus paljasti, että haittaohjelmien pääkohteet olivat sen sijaan QNAP NAS -laitteet. QNAP Systems, Inc. on sittemmin julkaissut laiteohjelmistopäivityksiä, joiden tarkoituksena on neutraloida QSnatch kaikista tartunnan saaneista laitteista.
QSnatch-vahinkopotentiaali
Tutkijoiden ei ole vielä määritetty tartuntavektoreita (IV), jotka vastuussa olevat huijarit ovat käyttäneet levittämään QSnatchia QNAP: n laitteistoihin. He tietävät kuitenkin, että QSnatch kasvattaa haitallisen koodinsa suoraan isäntälaitteen laiteohjelmistoon ja ajaa sen sitten laillisena prosessina QTS: ssä, QNAP: n NAS-räätälöityssä käyttöjärjestelmässä. Suoritettuaan suorituksen QSnatch yrittää muodostaa yhteyden etähallinto- ja -palvelimiin, joita oletettavasti käyttävät samat tietoverkot. Jos onnistuminen, tällainen yhteys sallii QSnatchin hakea lisää haittaohjelmia tartunnan saaneelle laitteelle "HTTP GET https: //: n" kautta.
Kun tämä on valmis, QSnatch-haittaohjelma pystyy aiheuttamaan melko sekoituksen vaarannetussa isäntässä. C2-palvelimelta tällä hetkellä noudettujen haitallisten moduulien mukaan (QSnatchin modulaarisesta kapasiteetista voi tulla enemmän) QSnatch saattaa kyetä:
- Estää sovelluksia ja laiteohjelmistoja päivityksiä, koska tämä saattaa vahingoittaa sen haitallista toimintaa.
- Poista QNAP MalwareRemover -sovellus käytöstä, jos käyttäjät ovat asentaneet tämän ohjelman tietokoneelleen.
- Tuodaan uusia haittaohjelmia hyökkääjien C&C-palvelimelta.
- Aktiivisten aikapohjaisten työnaikataulujen (cronjobs) ja init-tiedostojen (alustuskomentosarjat, jotka suoritetaan tarvittavien prosessien käynnistämiseksi osana käynnistysprosessia) muuttaminen.
- Kerää kaikki tartunnan saaneessa isännässä olevat sisäänkirjautumistiedot ja järjestelmämääritystiedostot ja siirtävät ne operaattorien C&C-palvelimelle.
Poista QSnatch tartunnan saaneesta laitteesta
Vastauksena QSnatch-haittaohjelmahyökkäyksestä lokakuun 25. päivänä 2019 annettuihin alkuperäisiin raportteihin, QNAP Systems toimitti pikaisesti itse QTS-käyttöjärjestelmän päivityksen, johon pääsee QTS-ohjauspaneelin valikosta. Myyjä julkaisi myös päivityksen Malware Remover -sovellukselleen, joka on saatavana QTS: n App Centeristä. Näiden uusien Malware Remover -versioiden - vastaavasti 3.5.4.2 ja 4.5.4.2 - pitäisi olla riittäviä poistamaan QSnatch tartunnan saaneista laitteista, käyttäjien tulisi myös muuttaa jo vaarannetut kirjautumistiedot uudelleen tartunnan välttämiseksi. Viimeisenä mutta ei vähäisimpänä, QNAP on kehottanut asiakkaita asentamaan QTS Security Counselor -sovelluksen (löytyy myös QTS App Centeristä) nostaakseen NAS-laitteidensa verkkoturvallisuuden korkeammalle tasolle.
Edellä mainittujen vaiheiden lisäksi NAS: n käyttäjät voivat ja niiden pitäisi turvautua useisiin toimiin laitteidensa suojaamiseksi tulevilta hyökkäyksiltä, mukaan lukien, mutta näihin rajoittumatta:
- Ohjaus oletusportin numeroista - 8080/81, 443, 80 ja 22 vain muutaman mainitsemiseksi
- IP-suojauksen aktivoiminen raa'alta voimalta
- Passiivisten tilien, epäilyttävien sovellusten ja käyttämättömien sovellusten / palveluiden (Web Server, SQL Server, SSH, Telnet jne.) Poistaminen
Lisäohjeita yllä kuvattujen toimenpiteiden toteuttamiseen löytyy QNAP-järjestelmän tietoturvaohjeista, jotka on omistettu erityisesti QSnatch-haittaohjelmille.
