آلودگی هزاران دستگاه QNAP NAS به بد افزار QSnatch
هکرها هزاران دستگاه ذخیره ساز متصل به شبکه (NAS) تایوانی QNAP را به وسیله نسل جدیدی از بد افزارها با نام QSnatch آلوده کردهاند.
تنها در آلمان بیش از ۷۰۰۰ مورد آلودگی به این بدافزار گزارش شده است. باورها بر این است که هزاران مورد آلوده دیگر در سطح جهانی وجود داشته باشند. و اینگونه به نظر میرسد که این آلودگی همچنان در حال گسترش باشد. اطلاعات در مورد چگونگی عملکرد QSnatch فعلا (در زمان نگارش این نوشته) اندک است. تنها گزارشی که در ارتباط با این موضوع در دست است از نخستین سازمان امنیت سایبری که این بدافزار را کشف نموده، ارائه گردیده است.
یک تحلیل و بررسی بر روی کدهای این بدافزار امکانات زیر را بر ملا میسازد.
- امکان تغییر دادن کارها و برنامههای زمان بندی شده سیستم عامل (cronjob)
- جلوگیری از بروزرسانیهای Firmware از طریق بازنویسی آدرس منبع دریافت بروزرسانی
- جلوگیری از اجرای برنامه حذف کننده بدافزار (ساخت QNAP)
- استخراج و سرقت نام کاربری و رمز عبور تمامی کاربران NAS
این ویژگیها قابلیتهای این بدافزار را تعریف میکند اما هدف نهایی آن را مشخص نمیسازد. هنوز روشن نیست که QSnatch برای انجام حملات DDos به منظور استخراج پنهانی رمز ارزها توسعه یافته است یا تنها به عنوان ایجاد راه نفوذ (Backdoor) بر روی دستگاههای QNAP جهت میزبانی برای عملیاتهای آینده
یکی از تئوری موجود این است که عاملان QSnatch در حال حاضر در فاز تشکیل باتنت (Botnet) هستند، و ماژولهای دیگر را در آینده اضافه خواهند نمود. تحلیل گران NCSC-FI تایید کردهاند که QSnatch توانایی ارتباط از راه دور فرمان و کنترل، دانلود، و سپس اجرای دیگر ماژولها را دارد.
راه حل رفع آلودگی
در حال حاضر تنها روش موثر برای حذف QSnatch انجام تنظیم مجدد کارخانه (Reset Factory) بر روی دستگاه NAS میباشد. برخی از کاربران گزارش دادهاند که بروزرسانی February 2019 QNAP NAS firmware update نیز مشکل را حل میکند. هر چند که نه NCSC-FI و نه شرکت سازنده حذف QSnatch و یا آلوده نشدن مجدد را تایید نکردهاند. فعلا به دارندگان QNAP NAS توصیه میشود که ارتباط دستگاه خود را با اینترنت قطع نمایند.
توصیه دیگری که توسط تحلیلگران NCSC-FI در مواجه با QSnatch به اشتراک گذاشته شده شامل موارد زیر میباشد:
- رمز تمامی حسابهای کاربری بر روی دستگاه را تغییر دهید.
- از بروز بودن نسخه firmware و همچنین تمامی برنامههای دستگاه مطمئن شوید.
- برنامههای ناشناس یا بلا استفاده را حذف کنید.
- برنامه QNAP MalwareRemover را از روی App Center نصب کنید.
- برای دستگاه یک لیست کنترل دسترسی ایجاد کنید. (Control panel -> Security -> Security level)
QSnatch چهارمین بدافزار کشف شده در سال جاری میباشد که دستگاههای NAS را هدف قرار داده است.