Čak 62000 QNAP NAS uređaja zaraženo QSnatch malwareom

Čak 62000 QNAP NAS uređaja zaraženo QSnatch malwareom
DepositPhotos

Britanska (CISA) i američka sigurnosna agencija (NSA) zajednički su objavile upozorenje o vrsti malwarea pod nazivom QSnatch, koji ima mogućnost zaraziti NAS (network-attached storage) uređaje tajvanskog proizvođača QNAP-a.

Ono što agencije navode jest da su QSnatch otkrili još 2014. te ga od onda prate. Ipak, napadi su se intenzivirali kroz posljednjih godinu dana jer zaraženih uređaja bilo je 7000 u listopadu 2019., da bi u lipnju ove godine brojka bila na 62.000. Značajan je to porast i zato se QSnatch više nikako ne može ignorirati, očito je podosta evoluirao.

Što se tiče teritorijalnog "prisustva" ovog malwarea, 15 posto zaraženih uređaja je u Sjevernoj Americi, 46 posto u Zapadnoj Europi i osam posto u Istočnoj Europi. Na ostatak svijeta "otpada" 31 posto zaraženih uređaja. Također CISA i NSA napominju da je u Sjedinjenim Američkim Državama zaraženo 7600 uređaja, a u Velikoj Britaniji 3900.

"Prva "kampanja" malwarea počela je u rane 2014. i trajala do sredine 2017. Druga je "kampanja" počela krajem 2018. i bila je aktivna do kraja 2019.", tvrde u sigurnosnim agencijama te napominju da su dvije kampanje koristile dvije različite verzije QSnatch malwarea, kojeg nazivaju i "Derek".

A ova aktualna kampanja dolazi s poboljšanjima zbog kojih se teže boriti protiv malwarea. Ima CGI password logger preko kojeg se kreira lažni admin login page te na ta način dolazi do podataka za prijavu; SSH backdoor koji nudi napadaču izvršni arbitratni kod na uređaju; Exfiltration; webshell mogućnosti za upravljanje na daljinu i "credential scraper".

Ali, ono što se još uvijek ne zna jest kako u samom početku QSnatch uspijeva zaraziti uređaj. Taj dio ni silni stručnjaci u agencijama još uvijek nisu uspjeli dokučiti, što dovoljno govori koliko je ovaj malware napredan i opasan.

Srećom, rješenja za njega postoje i QNAP ih je objavio na službenim stranicama. Ali, ako se ta rješenja ne iskoriste, CISA i NSA smatrat će da se radi o potpomaganju hakerskih aktivnosti.