هزاران دستگاه QNAP NAS به بدافزار QSnatch آلوده شده اند

دسته بندی ها : اخبار ۱۵ آبان ۱۳۹۸ فایزه اشرفیان اشرفیان 29 بازدید

بیش از ۷۰۰۰ آلودگی فقط در آلمان گزارش شده است. این بدافزار هنوز در حال گسترش است.

هکرها هزاران دستگاه ذخیره سازی متصل به شبکه (NAS)، QNAP، را  با یک نوع جدید از بدافزار به نام QSnatch آلوده کرده اند.

تیم واکنش اضطراری رایانه ای آلمان (CERT-Bund) امروز گفت: بیش از ۷،۰۰۰ آلودگی فقط در آلمان گزارش شده است. اعتقاد بر این است که هزاران نفر بیشتر در سراسر جهان آلوده شده اند ، به نظر می رسد شیوع مداوم است.

اطلاعات مربوط به نحوه کار QSnatch در زمان نوشتن، هنوز کم است. تنها گزارش از مرکز ملی امنیت سایبری فنلاند (NCSC-FI) ، اولین سازمان امنیت سایبری است که هفته گذشته این بدافزارها را کشف کرد.

اعضای NCSC-FI هنوز کشف نکرده اند که چگونه این تهدید جدید سیستم های QNAP NAS را گسترش داده و آلوده می کند. با این حال، هنگامی که دسترسی به یک دستگاه را بدست می آورد، QSnatch به میان افزار کرده تا و دسترسی root پیدا می­کند.

تجزیه و تحلیل کد بدافزار قابلیتهای زیر را نشان داد:

  • کارها و اسکریپت های مربوط به فرایند زمانبندی سیستم عامل را تغییر می­دهد (cronjob ، اسکریپت های اولیه)
  • با بازنویسی URL های منبع به روزرسانی، از به روزرسانی های آینده سیستم عامل جلوگیری می­کند.
  • از اجرای برنامه بومی QNAP MalwareRemover جلوگیری می کند.
  • نام های کاربری و کلمه عبور را برای همه کاربران NAS استخراج و سرقت می کند.

این ویژگی ها قابلیت های بدافزار را توصیف می کنند اما هدف نهایی آن را نشان نمی دهند. مشخص نیست که آیا QSnatch برای انجام حملات DDoS، انجام ماینینگ مخفی cryptocurrency یا فقط راهی برای ایجاد درپشتی در دستگاههای QNAP بمنظور سرقت پرونده های مهم یا بار کردن بدافزار برای عملیات های بعدی ایجاد شده است.

یک نظریه این است که اپراتورهای QSnatch در حال حاضر در مرحله ساخت باتنت خود قرار دارند و ماژول های دیگری را نیز در آینده مستقر خواهند کرد. تحلیلگران NCSC-FI تأیید کردند که QSnatch قابلیت اتصال به یک فرمان کنترل و کنترل از راه دور ، بارگیری و سپس اجرای سایر ماژول ها را دارد.

برخورد با آلودگی

در حال حاضر، تنها روش تأیید شده برای از بین بردن QSnatch ، انجام تنظیم مجدد کامل کارخانه دستگاه NAS است.

برخی از کاربران گزارش دادند که نصب بروزرسانی سیستم عامل QNAP NAS در فوریه ۲۰۱۹ نیز این مشکل را برطرف می کند؛ با این حال ، نه NCSC-FI و نه فروشنده تأیید نکرده اند که این QSnatch را حذف می کند یا مانع از تقویت مجدد در آینده می شود.

فعلاً به صاحبان QNAP NAS توصیه می شود وسایل خود را از اینترنت جدا کنند.

توصیه های دیگری که توسط تحلیلگران NCSC-FI درباره برخورد با پیامدهای آلودگی QSnatch به اشتراک گذاشته شده است عبارتند از:

  • تمام گذرواژه‌ها را برای همه حسابهای دستگاه تغییر دهید
  • حسابهای کاربری ناشناس را از دستگاه حذف کنید
  • اطمینان حاصل کنید که سیستم عامل دستگاه به روز باشد و همه برنامه ها نیز به روز شوند
  • برنامه های ناشناخته یا بلا استفاده را از دستگاه حذف کنید
  • برنامه QNAP MalwareRemover را از طریق قابلیت مرکز برنامه نصب کنید
  • یک لیست کنترل دسترسی برای دستگاه تنظیم کنید (کنترل پنل -> امنیت -> سطح امنیتی)

QSnatch چهارمین بدافزار کشف شده در سال جاری است که دستگاه های NAS را هدف قرار داده است ، به دنبال ردپای باج افزار که دستگاه های Synology را تحت تأثیر قرار داده است، و باج افزار eCh0raix و Muhstik که روی دستگاه های QNAP تأثیر گذاشته است.

راه آسان‌تری برای ارتباط با کاربران‌مان پیدا کرده‌ایم :) عضویت در کانال

نظرات کاربران

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

لینک کوتاه :

عضویت در خبرنامه ویژه مشتریان سیگما پلاس

با عضویت در خبرنامه ویژه سیگما پلاس از آخرین جشنواره های سایت باخبر شوید!