QSnatch

Una minaccia malware soprannominata QSnatch è nota per colpire i dispositivi NAS (Network-Attached Storage) prodotti dal QNAP Systems, Inc. con sede a Taiwan I ricercatori di malware del National Cyber Security Center (NCSC-FI) finlandese sono stati i primi a individuare l'attività di questo nuova minaccia a metà ottobre 2019. Un'analisi dettagliata dei rapporti automatici forniti dal servizio Autoreporter proprietario del Centro ha permesso loro di esporre un numero di dispositivi di archiviazione infetti da QSnatch che cercavano di stabilire una comunicazione con server remoti C&C (Command & Control). Sebbene gli esperti finlandesi inizialmente credessero di avere a che fare con il malware Caphaw su misura per MS Windows, un'ispezione approfondita della comunicazione C2 ha rivelato che invece i principali obiettivi del malware erano dispositivi NAS QNAP. Da allora QNAP Systems, Inc. ha rilasciato aggiornamenti del firmware volti a neutralizzare QSnatch da tutti i suoi dispositivi infetti.

D Potenziale danno da incidente

I ricercatori devono ancora determinare i vettori di infezione (IV) distribuiti dai criminali incaricati di diffondere QSnatch tra l'hardware di QNAP. Quello che sanno, tuttavia, è che QSnatch inserisce il proprio codice dannoso direttamente nel firmware del dispositivo host e quindi lo esegue come un processo legittimo in QTS, il sistema operativo su misura del NAS di QNAP. Una volta in esecuzione, QSnatch tenta di stabilire una connessione con server C&C remoti presumibilmente gestiti dagli stessi criminali informatici. In caso di successo, tale connessione consentirebbe a QSnatch di recuperare malware aggiuntivo sul dispositivo infetto tramite "HTTP GET https: // /qnap_firmware.xml?=t " richiesta.

Una volta completato, il malware QSnatch sarà in grado di suscitare grande scalpore nell'host compromesso. A seconda dei moduli dannosi attualmente recuperati dal server C2 (con più potenziale a causa della capacità modulare di QSnatch), QSnatch potrebbe essere in grado di:

• Impedire ad applicazioni e firmware di applicare aggiornamenti in quanto ciò potrebbe alterare il suo comportamento dannoso.
• Disabilitare l'applicazione QNAP MalwareRemover se gli utenti hanno installato questo programma sul proprio PC.
• Porta nuovo malware dal server C&C degli aggressori.
• Modifica dei programmi di pianificazione dei lavori (cronjobs) basati sul tempo attivi e dei file init (script di inizializzazione eseguiti per avviare i processi necessari come parte del processo di avvio).
• Raccogliere tutte le credenziali di accesso e i file di configurazione del sistema presenti sull'host infetto e trasferirli sul server C&C dei suoi operatori.

Rimuovi QSnatch da un dispositivo infetto

In risposta ai rapporti iniziali del 25 ottobre 2019 sull'attacco di malware QSnatch, QNAP Systems ha fornito rapidamente un aggiornamento del firmware live per il sistema operativo QTS stesso accessibile dal menu del pannello di controllo QTS. Il fornitore ha anche pubblicato un aggiornamento per la sua app di rimozione malware disponibile dal centro app di QTS. Mentre quelle nuove versioni di Malware Remover - 3.5.4.2 e 4.5.4.2, rispettivamente - dovrebbero essere sufficienti per rimuovere QSnatch dai dispositivi infetti, gli utenti dovrebbero anche modificare le credenziali di accesso già compromesse per evitare la reinfezione. Ultimo ma non meno importante, QNAP ha invitato i clienti a installare l'app QTS Security Counselor (presente anche nel Centro app QTS) per portare la sicurezza della rete dei propri dispositivi NAS a un livello superiore.

Oltre ai passaggi sopra menzionati, gli utenti NAS possono e devono ricorrere a una serie di azioni per proteggere i loro dispositivi da attacchi futuri, inclusi ma non limitati a:

• Evita i numeri di porta predefiniti: 8080/81, 443, 80 e 22 per citarne solo alcuni
• Attivazione della protezione IP contro i tentativi di forza bruta
• Eliminazione di account inattivi, app sospette e app / servizi inutilizzati (Web Server, SQL Server, SSH, Telnet, ecc.)

Ulteriori indicazioni su come implementare le misure di cui sopra sono disponibili nell'advisory sulla sicurezza del sistema QNAP dedicato specificamente al malware QSnatch.