Вредонос QSnatch заразил более 62 000 устройств QNAP

В ноябре 2019 года немецкие и финские специалисты по информационной безопасности обнаружили вредоноса, поражающего устройства QNAP NAS. Тогда сообщалось, что малварь, получившая название QSnatch, заразила более 7000 устройств в одной только Германии.

Получив доступ к девайсу, вредонос вносит изменения в прошивку, чтобы гарантировать себе постоянное присутствие. Также QSnatch способен:

  • вносить изменения в запланированные задания и скрипты (cronjob, init);
  • предотвращаться обновления прошивки, путем перезаписи URL-адресов источника обновлений;
  • запрещать запуск защитного приложения QNAP MalwareRemover;
  • извлекать и похищать имена пользователей и пароли всех пользователей NAS.

Теперь специалисты из Агентства по кибербезопасности и защите инфраструктуры, организованного при Министерстве внутренней безопасности США (DHS CISA), а также их коллеги из Национального центра кибербезопасности Великобритании (NCSC) сообщают, что QSnatch продолжает набирать обороты.

По информации правоохранителей, вредонос появился на свет еще в 2014 году, но лишь в последний год стал представлять реальную угрозу.  Так, если в конце 2019 года количество зараженных QSnatch устройств равнялось примерно 7000, то по состоянию на середину июля 2020 года их число превысило 62 000. Эксперты CISA и NSCS сообщают, что примерно 7600 зараженных устройств находятся в США и около 3900 в Великобритании.

Специалисты пишут, что первая кампания QSnatch началась еще в 2014 году и длилась до середины 2017 года, тогда как вторая кампания берет начало в 2018 году, и в конце 2019 года она была по-прежнему активна.

В этих кампаниях использовались разные версии малвари QSnatch, и отчеты экспертов фокусируются на последней версии QSnatch, использованной в наиболее свежей кампании. Данная версия QSnatch поставляется с расширенным набором функций и включает в себя следующие модули:

  • CGI логгер для паролей: создает фейковую версию административной страницы логина и фиксирует все успешные аутентификации (при этом переадресовывая жертву на легитимную страницу входа);
  • средство для хищения учтенных данных;
  • SSH-бэкдор: позволяет хакеру выполнять произвольный код на устройстве;
  • средство хищения данных: при запуске QSnatch крадет заранее определенный список файлов, в том числе файлы конфигурации и логи. Они шифруются публичным ключом хакеров и передаются злоумышленникам посредством HTTPS;
  • веб-шелл для удаленного доступа.

Интересно, что хотя экспертам из CISA и NCSC удалось проанализировать новейшую версию QSnatch, они до сих пор не разобрались, каким образом малварь проникает на устройства. Так, злоумышленники могут использовать какие-то уязвимости во встроенном ПО QNAP или перебирать пароли по умолчанию для учетной записи администратора, однако это лишь теории.

Специалисты напоминают, что компании QNAP давно объяснила, как обезопасить устройства от атак QSnatch, и призывают пользователей и администраторов предпринять необходимые для защиты меры.

Мария Нефёдова: Блондинка, гик, книжный червь, синефил. Редактор ленты новостей; иногда автор Сцены.
Похожие материалы