Операторы QSnatch похитили данные с более 62 тыс. сетевых хранилищ QNAP

Операторы QSnatch похитили данные с более 62 тыс. сетевых хранилищ QNAP

Жертвами вредоносной кампании стали владельцы NAS-устройств в Западной Европе и Северной Америке.

image

Агентство по кибербезопасности и безопасности инфраструктуры США (DHS CISA) и Национальный центр кибербезопасности Великобритании (NCSC) выпустили совместное предупреждение о продолжающейся вредоносной кампании, нацеленной на сетевые хранилища тайваньской компании QNAP.

Вредоносное ПО QSnatch (или Derek) используется для хищения данных, и в настоящее время скомпрометировало около 62 тыс. NAS-устройств. Жертвами вредоносной кампании стали владельцы устройств в Западной Европе и Северной Америке.

«Все NAS-устройства QNAP потенциально уязвимы к атакам вредоносного ПО QSnatch, если владельцы не установят последние обновления безопасности. Кроме того, после заражения устройства злоумышленники могут помешать администраторам успешно установить обновления прошивки», — предупредили ведомства.

Как сообщили ведомства, первая кампания, вероятно, началась в 2014 году и продолжалась до середины 2017 года, после чего усилилась в течение последних нескольких месяцев. По данным немецкой группы реагирования на компьютерные инциденты (CERT-Bund), по состоянию на октябрь 2019 года в одной только Германии вредоносное ПО заразило более чем 7 тыс. NAS-устройств.

Вторая волна атак включает внедрение вредоносного ПО на этапе заражения и последующее использование алгоритма генерации домена для настройки C&C-сервера, установления удаленной связи с зараженными хостами и похищения конфиденциальных данных.

Последняя версия QSnatch обладает широким набором функций, включая:

  • CGI логгер для паролей: создает поддельную версию административной страницы авторизации и фиксирует все успешные аутентификации, переадресовывая жертву на легитимную страницу входа;
  • средство для хищения учтенных данных;
  • SSH-бэкдор, позволяющий выполнять произвольный код на устройстве;
  • средство хищения данных: при запуске QSnatch крадет заранее определенный список файлов, в том числе файлы конфигурации и логи;
  • web-шелл для удаленного доступа.

Кроме того, вредоносное ПО может обеспечить персистентность, предотвращая установку обновлений на зараженное устройство QNAP путем «перенаправления имен основных доменов, используемых NAS, на локальные устаревшие версии».

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.