Malware QSnatch: infettati più di 60.000 NAS QNAP. UK e USA diramano alert ad hoc

mercoledì 29 luglio 2020
Malware QSnatch: infettati più di 60.000 NAS QNAP. UK e USA diramano alert ad hoc

La Cybersecurity and Infrastructure Security Agency(CISA) statunitense e il National Cyber Security Centre (NCSC) del Regno Unito hanno diramato appena due giorni fa un alert specifico riguardante QSnatch, un malware specializzato in attacchi contro i dispositivi NAS QNAP. QSnatch è un malware individuato nel 2014 e che ha visto due ampie campagne di diffusione dal 2014 al 2017 e dal 2018 al 2019. Nonostante l’inattività momentanea del malware, le due agenzie di sicurezza hanno deciso di lanciare gli alert e invitare urgentemente tutti i clienti QNAP ad aggiornare i propri dispositivi NAS e ridurre il più possibile il rischio di futuri attacchi.

Il malware in breve
Prima di passare ai numeri, che effettivamente rendono esplicito il pericolo, è utile una breve ricapitolazione delle funzionalità e caratteristiche di questo malware. QNAP ha informato per la prima volta i propri clienti riguardo ad una serie di attacchi in corso contro i dispositivi NAS nel Novembre 2019, quando un ricercatore del National Cyber Security Centre finlandese aveva individuato centinaia di NAS QNAP infetti: per ben 4 anni il malware è rimasto fondamentalmente sconosciuto e sotto traccia.

Le funzionalità principali di QSnatch sono il furto di credenziali e l’iniezione di codice dannoso recuperato dal server di comando e controllo degli attaccanti. E’ comunque un malware modulare, quindi può ampliare le proprie funzioni secondo le esigenze degli attaccanti. Tra le altre cose, lascia una backdoor in ogni dispositivo infetto. Alcune funzionalità sono:

installazione di una pagina di login admin fake per il phishing delle credenziali;
furto di credenziali;
installazione di una backdoor SSH che garantisce agli attaccanti di eseguire codice dannoso sul dispositivo compromesso;
utilizzo di una web shell per garantire l’accesso remoto agli attaccanti;
utilizzo di moduli di esfiltrazione di una lista predefinita di file (tra i quali log e configurazioni di sistema).

Una volta infettato un NAS QNAP, il malware blocca anche gli update del software, si garantisce la persistenza modificando gli script init e cronjob e impedisce l’esecuzione del Malware Remover: le fonti di update vengono semplicemente sovrascritte, mentre i domini e gli URL di update sono reindirizzati alle versioni in locale.

Resta ancora sconosciuto il vettore di attacco, a parte una specifica campagna di distribuzione che ha visto QSnatch iniettato direttamente nel firmware del dispositivo. Le due agenzie fanno sapere di aver analizzato alcuni campioni di QSnatch che patchano intenzionalmente una vulnerabilità di esecuzione di codice da remoto Samba CVE-2017-7494: questo potrebbe essere un tentativo di impedire ad altri di prendere il controllo del dispositivo infettato con QSnatch, ma potrebbe anche avere a che fare col vettore di infezione usato in precedenti campagne di diffusione.

Diamo i numeri
Partiamo da un assunto categorico: “tutti i dispositivi NAS QNAP sono potenzialmente vulnerabili al malware QSnatc se non correttamente aggiornati all’ultimo fix di sicurezza”, spiegano entrambe le agenzie. “Aziende e privati che usano versioni vulnerabili devono eseguire un ripristino completo alle impostazioni di fabbrica prima di completare l’upgrade del firmware, così da assicurarsi che il dispositivo non sia lasciato vulnerabile”. Il consiglio è anche quello di isolare il dispositivo da connessioni esterne se l’uso del NAS è solo per storage interno.

Le due agenzie hanno individuato circa 62.000 dispositivi infetti fino a metà Giugno 2020: di questi oltre il 54% si trovano in Europa, 15% in Nord America e il 31% nel resto del mondo.

Fonte: CISA & NCSC

I NAS QNAP sotto assedio
QSnatch non è affatto il primo malware pensato appositamente per colpire i NAS QNAP: nell’Ottobre del 2019 l’azienda rilasciò un alert di sicurezza riguardo al ransomware Muhstik che colpiva quei dispositivi che eseguivano phpMyAdmin con password deboli per server SQL.

Nell’Agosto 2019 da QNAP viene pubblicato un altro alert: debutta sulle scene il ransomware eCh0raix (QNAPCrypt), decriptato e risolto nella prima versione e di nuovo in diffusione lo scorso mese con una nuova versione attualmente ancora non risolvibile.

Leave a comment



logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy