info[at]nsec.ir
(+۹۸)-۳۱-۳۳۹۱۵۳۳۶

آلودگی هزاران حافظۀ QNAP به بدافزار خطرناک Qsnatch

خلاصه: طبق گزارش مشترک سازمان امنیت و زیرساخت آمریکا (CISA) و سازمان ملّی امنیت سایبری انگلستان (NCSC)، قربانیان این بدافزار از ۷۰۰۰ بات در سال ۲۰۱۹ به ۶۲۰۰۰  بات رسیده‌اند. سازمان امنیت و زیرساخت آمریکا و سازمان ملّی امنیت سایبری انگلستان در گزارشی مشترک در مورد بدافزار QSnatch هشدار دادند. این بدافزار حافظه‌ی متعلق به شبکه‌ی شرکت QNAP را آلوده می‌کنند.

طبق این گزارش اگرچه سابقه‌ی حمله‌ی این بدافزار به سال ۲۰۱۴ برمی‌گردد، ولی این حمله در سال‌های اخیر تشدید شده است و از ۷۰۰۰ دستگاه در اکتبر ۲۰۱۹  به بیش از ۶۲۰۰۰ دستگاه تا میانه‌ی سال ۲۰۲۰ رسیده است. طبق برآورد این گزارش، ۷۶۰۰ دستگاه آلوده به این بدافزار در آمریکا و ۳۹۰۰ دستگاه در انگلیس هستند. موج اول این حمله از اوایل سال ۲۰۱۴ شروع ‌شده و تا میانه‌ی سال ۲۰۱۷ ادامه داشته است. موج دوم اما از سال ۲۰۱۸ شروع ‌شده و تا سال ۲۰۱۹ نیز فعال بوده است.

میزان آلودگی به بدافزار QSnatch در سراسر دنیا

قابلیت سرقت اطلاعات بدافزار QSnatch

در دو موج حمله این بدافزار، شاهد نسخه‌های مختلفی از این بدافزار بودیم که تمرکز گزارش مذکور، بر آخرین نسخه است.

آخرین نسخه بدافزار، با مجموعه‌ی گسترده‌ای از قابلیت‌ها و امکانات ارتقا یافته است. این قابلیت‌ها عبارت‌اند از:

  • ثبت کننده (Logger) رمز عبور CGI: با ایجاد صفحه‌ی ورود جعلی، از ورودهای موفق را ثبت کرده و اطلاعات ورود را به صفحه‌ی ورود واقعی ارسال می‌کند.
  • اسکرپرهای گواهی
  • درب پشتی SSH: با این امکان، مهاجم می‌تواند کد دلخواه خود را روی دستگاه آلوده اجرا کند.
  • استخراج داده غیرمجاز (Exfiltration) : این قابلیت لیست تعیین‌شده‌ای از تنظیمات و رویداد (لاگ‌ها) را، توسط کلید عمومی مهاجم رمز کرده و توسط HTTPS برای مهاجم می‌فرستد.
  • قابلیت Webshell برای دسترسی از راه دور

 

در مورد سناریو حمله این امکان وجود دارد که مهاجم از طریق اکسپلویت آسیب‌پذیری‌های سفت‌افزار  یا با استفاده از نام کاربری و رمز عبور پیش‌فرض به دستگاه‌ها نفوذ کرده باشد. اما همچنان نمی‌توان نظر قطعی‌ای در این مورد داد.

با نفوذ مهاجم به دستگاه، بدافزاری به سفت‌افزار تزریق می‌شود که کنترل تمام دستگاه را به دست گرفته و مانع به‌روزرسانی آن می‌شود. سرور موج دوم این حمله غیرفعال است اما هنوز دستگاه‌های آلوده به این بدافزار در اینترنت وجود دارند.

برای رهایی از این بدافزار و جلوگیری از آلودگی‌های آینده، سازمان‌ها و کاربرانی که از دستگاه‌های QNAP استفاده می‌کنند، بایستی وصله‌ها و دستورالعمل‌هایی که توسط شرکت سازنده ارائه‌شده است را اعمال کنند. عدم وصله موفق این بدافزار به معنای دادن دسترسی مستقیم مهاجم به این دستگاه‌ها و  اطلاعات (اطلاعات پشتیبانی یا حساس) این دستگاه‌هاست.

 

کاهش خطر

با آلوده شدن دستگاه، به‌روزرسانی سفت‌افزار برای مدیر غیرممکن می‌شود و امکان به‌روزرسانی، ملاک خوبی برای اطمینان از عدم آلودگی دستگاه است. سازمان‌هایی که هنوز از نسخه‌ی آسیب‌پذیر استفاده می‌کنند، لازم است دستگاه خود را به تنظیمات کارخانه برگردانند تا از دریافت کامل به‌روزرسانی سفت‌افزار و رفع آسیب‌پذیری‌ اطمینان حاصل کنند. بررسی مداوم به‌روزرسانی‌ها، نه‌تنها برای دستگاه‌های امن، بلکه برای دستگاه‌های آلوده‌ای که وصله شده‌اند نیز لازم است و از آلودگی مجدد دستگاه جلوگیری می‌کند.

برای جلوگیری از آلودگی این بدافزار، بررسی و ارزیابی موارد عنوان‌شده در این لینک را اکیداً توصیه می‌شود. همچنین  موارد زیر را در نظر بگیرید:

  • اطمینان از تهیه‌ی دستگاه‌های QNAP از منابع معتبر:
  • در صورت عدم اطمینان از منبع، بازگردانی به تنظیمات کارخانه و به‌روزرسانی سفت‌افزار  به‌طور کامل انجام شود.
  • مسدود کردن ارتباطات خارجی، وقتی دستگاه به‌عنوان حافظه‌ی داخلی استفاده می‌شود.

 

    

 

 

مطالب مرتبط