На прошлой неделе Национальный центр кибербезопасности Финляндии (NCSC-FI) предупредил о появлении нового вредоноса, поражающего устройства QNAP NAS. Теперь же предупреждение о новой угрозе опубликовали и специалисты немецкого CERT, подчеркнув, что вредонос QSnatch уже заразил более 7000 устройств в одной только Германии.
Как именно распространяется QSnatch пока неясно, однако исследователи уже разобрались в том, как он работает. По информации NCSC-FI, получив доступ к девайсу, малварь вносит изменения в прошивку, чтобы гарантировать себе постоянное присутствие на устройстве. Также QSnatch способен:
- вносить изменения в запланированные задания и скрипты (cronjob, init);
- предотвращаться обновления прошивки, путем перезаписи URL-адресов источника обновлений;
- запрещать запуск защитного приложения QNAP MalwareRemover;
- извлекать и похищать имена пользователей и пароли всех пользователей NAS.
К сожалению, все это не позволяет определить, какова конечная цель QSnatch. Пока неясно, был ли вредонос разработан для проведения DDoS-атак, скрытого майнинга криптовалюты или это просто бэкдор для девайсов QNAP, предназначенный для кражи конфиденциальных файлов или будущего размещения малвари. Пока операторы QSnatch еще только создают свой ботнет и могут развернуть дополнительные модули в будущем. Специалисты подтверждают, что QSnatch способен подключаться к удаленному управляющему серверу, загружать и запускать оттуда дополнительные компоненты.
В настоящее время единственным методом удаления QSnatch является полный сброс настроек устройства до заводских. Также некоторые пользователи отмечают, что обновление прошивки до версии, выпущенной в феврале 2019 года, тоже устраняет проблему, но ни специалисты NCSC-FI, ни инженеры QNAP не подтверждают, что это помогает избавиться от QSnatch и предотвратить повторные заражения.
Пока владельцам QNAP NAS рекомендуется отключить свои устройства от интернета. Если же устройство уже было заражено, эксперты советуют изменить все пароли для учетных записей; удались все лишние и подозрительные учетные записи; обновить прошивку и приложения до новейших версий (неиспользуемые приложения лучше удалить); установить QNAP MalwareRemover.