Операторы QSnatch похитили данные с более 62 тыс. сетевых хранилищ QNAP

Агентство по кибербезопасности и безопасности инфраструктуры США (DHS CISA) и Национальный центр кибербезопасности Великобритании (NCSC) выпустили совместное предупреждение о продолжающейся вредоносной кампании, нацеленной на сетевые хранилища тайваньской компании QNAP.

Вредоносное ПО QSnatch (или Derek) используется для хищения данных, и в настоящее время скомпрометировало около 62 тыс. NAS-устройств. Жертвами вредоносной кампании стали владельцы устройств в Западной Европе и Северной Америке.

«Все NAS-устройства QNAP потенциально уязвимы к атакам вредоносного ПО QSnatch, если владельцы не установят последние обновления безопасности. Кроме того, после заражения устройства злоумышленники могут помешать администраторам успешно установить обновления прошивки», — предупредили ведомства.

Как сообщили ведомства, первая кампания, вероятно, началась в 2014 году и продолжалась до середины 2017 года, после чего усилилась в течение последних нескольких месяцев. По данным немецкой группы реагирования на компьютерные инциденты (CERT-Bund), по состоянию на октябрь 2019 года в одной только Германии вредоносное ПО заразило более чем 7 тыс. NAS-устройств.

Вторая волна атак включает внедрение вредоносного ПО на этапе заражения и последующее использование алгоритма генерации домена для настройки C&C-сервера, установления удаленной связи с зараженными хостами и похищения конфиденциальных данных.

Последняя версия QSnatch обладает широким набором функций, включая:

• CGI логгер для паролей: создает поддельную версию административной страницы авторизации и фиксирует все успешные аутентификации, переадресовывая жертву на легитимную страницу входа;
• средство для хищения учтенных данных;
• SSH-бэкдор, позволяющий выполнять произвольный код на устройстве;
• средство хищения данных: при запуске QSnatch крадет заранее определенный список файлов, в том числе файлы конфигурации и логи;
• web-шелл для удаленного доступа.

Кроме того, вредоносное ПО может обеспечить персистентность, предотвращая установку обновлений на зараженное устройство QNAP путем «перенаправления имен основных доменов, используемых NAS, на локальные устаревшие версии».