x

Blog

آلودگی هزاران حافظۀ QNAP به بدافزار خطرناک Qsnatch

خلاصه: طبق گزارش مشترک سازمان امنیت و زیرساخت آمریکا (CISA) و سازمان ملّی امنیت سایبری انگلستان (NCSC)، قربانیان این بدافزار از 7000 بات در سال 2019 به 62000  بات رسیده‌اند. سازمان امنیت و زیرساخت آمریکا و سازمان ملّی امنیت سایبری انگلستان در گزارشی مشترک در مورد بدافزار QSnatch هشدار دادند. این بدافزار حافظه‌ی متعلق به شبکه‌ی شرکت QNAP را آلوده می‌کنند.

طبق این گزارش اگرچه سابقه‌ی حمله‌ی این بدافزار به سال 2014 برمی‌گردد، ولی این حمله در سال‌های اخیر تشدید شده است و از 7000 دستگاه در اکتبر 2019  به بیش از 62000 دستگاه تا میانه‌ی سال 2020 رسیده است. طبق برآورد این گزارش، 7600 دستگاه آلوده به این بدافزار در آمریکا و 3900 دستگاه در انگلیس هستند. موج اول این حمله از اوایل سال 2014 شروع ‌شده و تا میانه‌ی سال 2017 ادامه داشته است. موج دوم اما از سال 2018 شروع ‌شده و تا سال 2019 نیز فعال بوده است.

میزان آلودگی به بدافزار QSnatch در سراسر دنیا

قابلیت سرقت اطلاعات بدافزار QSnatch

در دو موج حمله این بدافزار، شاهد نسخه‌های مختلفی از این بدافزار بودیم که تمرکز گزارش مذکور، بر آخرین نسخه است.

آخرین نسخه بدافزار، با مجموعه‌ی گسترده‌ای از قابلیت‌ها و امکانات ارتقا یافته است. این قابلیت‌ها عبارت‌اند از:

  • ثبت کننده (Logger) رمز عبور CGI: با ایجاد صفحه‌ی ورود جعلی، از ورودهای موفق را ثبت کرده و اطلاعات ورود را به صفحه‌ی ورود واقعی ارسال می‌کند.
  • اسکرپرهای گواهی
  • درب پشتی SSH: با این امکان، مهاجم می‌تواند کد دلخواه خود را روی دستگاه آلوده اجرا کند.
  • استخراج داده غیرمجاز (Exfiltration) : این قابلیت لیست تعیین‌شده‌ای از تنظیمات و رویداد (لاگ‌ها) را، توسط کلید عمومی مهاجم رمز کرده و توسط HTTPS برای مهاجم می‌فرستد.
  • قابلیت Webshell برای دسترسی از راه دور

 

در مورد سناریو حمله این امکان وجود دارد که مهاجم از طریق اکسپلویت آسیب‌پذیری‌های سفت‌افزار  یا با استفاده از نام کاربری و رمز عبور پیش‌فرض به دستگاه‌ها نفوذ کرده باشد. اما همچنان نمی‌توان نظر قطعی‌ای در این مورد داد.

با نفوذ مهاجم به دستگاه، بدافزاری به سفت‌افزار تزریق می‌شود که کنترل تمام دستگاه را به دست گرفته و مانع به‌روزرسانی آن می‌شود. سرور موج دوم این حمله غیرفعال است اما هنوز دستگاه‌های آلوده به این بدافزار در اینترنت وجود دارند.

برای رهایی از این بدافزار و جلوگیری از آلودگی‌های آینده، سازمان‌ها و کاربرانی که از دستگاه‌های QNAP استفاده می‌کنند، بایستی وصله‌ها و دستورالعمل‌هایی که توسط شرکت سازنده ارائه‌شده است را اعمال کنند. عدم وصله موفق این بدافزار به معنای دادن دسترسی مستقیم مهاجم به این دستگاه‌ها و  اطلاعات (اطلاعات پشتیبانی یا حساس) این دستگاه‌هاست.

 

کاهش خطر

با آلوده شدن دستگاه، به‌روزرسانی سفت‌افزار برای مدیر غیرممکن می‌شود و امکان به‌روزرسانی، ملاک خوبی برای اطمینان از عدم آلودگی دستگاه است. سازمان‌هایی که هنوز از نسخه‌ی آسیب‌پذیر استفاده می‌کنند، لازم است دستگاه خود را به تنظیمات کارخانه برگردانند تا از دریافت کامل به‌روزرسانی سفت‌افزار و رفع آسیب‌پذیری‌ اطمینان حاصل کنند. بررسی مداوم به‌روزرسانی‌ها، نه‌تنها برای دستگاه‌های امن، بلکه برای دستگاه‌های آلوده‌ای که وصله شده‌اند نیز لازم است و از آلودگی مجدد دستگاه جلوگیری می‌کند.

برای جلوگیری از آلودگی این بدافزار، بررسی و ارزیابی موارد عنوان‌شده در این لینک را اکیداً توصیه می‌شود. همچنین  موارد زیر را در نظر بگیرید:

  • اطمینان از تهیه‌ی دستگاه‌های QNAP از منابع معتبر:
  • در صورت عدم اطمینان از منبع، بازگردانی به تنظیمات کارخانه و به‌روزرسانی سفت‌افزار  به‌طور کامل انجام شود.
  • مسدود کردن ارتباطات خارجی، وقتی دستگاه به‌عنوان حافظه‌ی داخلی استفاده می‌شود.

 

    

 

 
Persian English French German Russian Spanish
کلیه حقوق این سایت متعلق به مرکز تخصصی آپا دانشگاه صنعتی اصفهان می‌باشد. استفاده از مطالب تنها در صورت دریافت تاییدیه کتبی مجاز است.

تحت نظارت وف ایرانی