QNAP IoT NAS
Жертвами вредоносной кампании стали владельцы NAS-устройств в Западной Европе и Северной Америке.
Агентство по кибербезопасности и безопасности инфраструктуры США (DHS CISA) и Национальный центр кибербезопасности Великобритании (NCSC) выпустили совместное предупреждение о продолжающейся вредоносной кампании, нацеленной на сетевые хранилища тайваньской компании QNAP.
Вредоносное ПО QSnatch (или Derek) используется для хищения данных, и в настоящее время скомпрометировало около 62 тыс. NAS-устройств. Жертвами вредоносной кампании стали владельцы устройств в Западной Европе и Северной Америке.
«Все NAS-устройства QNAP потенциально уязвимы к атакам вредоносного ПО QSnatch, если владельцы не установят последние обновления безопасности. Кроме того, после заражения устройства злоумышленники могут помешать администраторам успешно установить обновления прошивки», — предупредили ведомства.
Как сообщили ведомства, первая кампания, вероятно, началась в 2014 году и продолжалась до середины 2017 года, после чего усилилась в течение последних нескольких месяцев. По данным немецкой группы реагирования на компьютерные инциденты (CERT-Bund), по состоянию на октябрь 2019 года в одной только Германии вредоносное ПО заразило более чем 7 тыс. NAS-устройств.
Вторая волна атак включает внедрение вредоносного ПО на этапе заражения и последующее использование алгоритма генерации домена для настройки C&C-сервера, установления удаленной связи с зараженными хостами и похищения конфиденциальных данных.
Последняя версия QSnatch обладает широким набором функций, включая:
- CGI логгер для паролей: создает поддельную версию административной страницы авторизации и фиксирует все успешные аутентификации, переадресовывая жертву на легитимную страницу входа; средство для хищения учтенных данных; SSH-бэкдор, позволяющий выполнять произвольный код на устройстве; средство хищения данных: при запуске QSnatch крадет заранее определенный список файлов, в том числе файлы конфигурации и логи; web-шелл для удаленного доступа.
Кроме того, вредоносное ПО может обеспечить персистентность, предотвращая установку обновлений на зараженное устройство QNAP путем «перенаправления имен основных доменов, используемых NAS, на локальные устаревшие версии».
Источник: