QSnatch
Një kërcënim me qëllim të keq të quajtur QSnatch është i njohur për të synuar pajisjet NAS (Stached Storage) të prodhuara nga QNAP Systems me bazë në Tajvan, Inc. Studiuesit e Malware në Qendrën Kombëtare të Sigurisë Kibernetike të Finlandës (NCSC-FI) ishin të parët që vërejtën veprimtarinë e këtij kërcënim i ri në mesin e tetorit 2019. Një analizë e hollësishme e raporteve automatike të ofruara nga shërbimi i pronarit Autoreporter i Qendrës i lejoi ata të ekspozojnë një numër pajisjesh të depozitimit të infektuar nga QSnatch, duke provuar të krijojnë komunikim me serverët e largët C&C (Command & Control). Megjithëse ekspertët finlandezë fillimisht besuan se po merreshin me malware të softuerit Caphaw të përshtatur me Windows, një kontroll i plotë i komunikimit C2 zbuloi se objektivat kryesorë të malware ishin pajisjet QNAP NAS përkundrazi. QNAP Systems, Inc që nga ajo kohë ka lëshuar azhurnime të firmware që synojnë të neutralizojnë QSnatch nga të gjitha pajisjet e tij të infektuara.
Potenciali i dëmtimit të QSnatch
Studiuesit ende nuk kanë përcaktuar vektorët e infeksionit (IV) të vendosur nga hajdutët përgjegjës për të përhapur QSnatch në mesin e pajisjeve QNAP. Ajo që ata e dinë, megjithatë, është se QSnatch vendos kodin e tij të dëmshëm direkt në firmware të pajisjes pritëse dhe pastaj e drejton atë si një proces të ligjshëm në QTS, Sistemi Operativ i përshtatur me QNAP-në. Pasi të kandidojë, QSnatch përpiqet të krijojë një lidhje me serverë të largët C & C që supozohet se operohet nga të njëjtët mashtrues kibernetikë. Nëse është e suksesshme, një lidhje e tillë do të lejonte që QSnatch të tërheqë keqdashës shtesë mbi pajisjen e infektuar përmes "HTTP GET https: //
Pasi të përfundojë kjo, malware QSnatch do të jetë në gjendje të shkaktojë mjaft trazim në hostin e komprometuar. Në varësi të modulit (s) me qëllim të keq të marrë aktualisht nga serveri C2 (me më shumë potencial që do të vijë për shkak të aftësisë modulare të QSnatch), QSnatch mund të jetë i aftë:
- Parandalimi i aplikacioneve dhe firmware nga aplikimi i azhurnimeve pasi kjo mund të dëmtojë sjelljen e tij dashakeqe.
- Pamundësimi i aplikacionit QNAP MalwareRemover nëse përdoruesit e kanë instaluar këtë program në PC-të e tyre.
- Sjellja e një malware të ri nga serveri C&C i sulmuesve.
- Ndryshimi i orareve aktivë të bazuar në kohë të punës (cronjobs) dhe skedarët fillestar (skriptet e fillimit që ekzekutohen për të filluar proceset e nevojshme si pjesë e procesit të boot).
- Vjelja e të gjitha kredencialet e hyrjes dhe skedarët e konfigurimit të sistemit të pranishëm në pritës të infektuar dhe transferimin e tyre në serverin C&C të operatorëve të saj.
Hiqni QSnatch nga një pajisje e infektuar
Në përgjigje të raporteve fillestare të 25 Tetorit 2019 mbi sulmin e malware QSnatch, QNAP Systems siguroi me shpejtësi një azhurnim të drejtpërdrejtë të firmware për vetë QTS OS, të arritshme nga menyja e Panelit të Kontrollit QTS. Shitësi gjithashtu paraqiti një azhurnim për aplikacionin e tij Remover Malware në dispozicion nga qendra e Aplikacioneve QTS. Ndërsa ato versione të reja të Malware Remover - 3.5.4.2 dhe 4.5.4.2, përkatësisht - duhet të jenë të mjaftueshme për të hequr QSnatch nga pajisjet e infektuara, përdoruesit duhet të ndryshojnë gjithashtu kredencialet e hyrjeve të kompromentuara tashmë për të shmangur rikthimin. E fundit, por jo më pak e rëndësishme, QNAP ka nxitur klientët të instalojnë aplikacionin QTS Security Counselor (gjithashtu të gjetur në QTS App Center) për të sjellë sigurinë e rrjetit të pajisjeve të tyre NAS në një nivel më të lartë.
Përveç hapave të përmendur më lart, përdoruesit e NAS mund dhe duhet të përdorin një numër veprimesh për të mbrojtur pajisjet e tyre nga sulmet e ardhshme, duke përfshirë por jo kufizuar në:
- Drejtues i numrave të portit të paracaktuar - 8080/81, 443, 80 dhe 22 për të përmendur, por disa
- Aktivizimi i mbrojtjes IP kundër përpjekjeve brutale
- Fshirja e llogarive joaktive, aplikacionet e dyshimta dhe aplikacionet / shërbimet e papërdorura (Web Server, SQL Server, SSH, Telnet, etj.)
Udhëzime shtesë për mënyrën e zbatimit të masave të përshkruara më sipër mund të gjenden në këshillat e sigurisë të Sistemit QNAP, të dedikuara posaçërisht për Malware-in QSnatch.
