چندین هزار دستگاه ذخیره‌ساز متصل به شبکه (NAS) شرکت QNAP توسط بدافزار جدیدی به نام QSnatch آلوده شده‌اند. به گزارش معاونت بررسی مرکز افتا، آلوده‌شدن ۷ هزار دستگاه ( NAS(Network Attached Storage تنها در کشور آلمان گزارش شده است و هزاران مورد آلودگی دیگر نیز در سطح جهان در حال رخ دادن است. بدافزار QSnatch به firmware دستگاه نفوذ می‌کند تا اطلاعات احرازهویت را به سرقت ببرد و کد مخرب در آن بارگذاری کند. بدافزار پس از آلوده‌سازی firmware دستگاه، از الگوریتم‌های تولید دامنه استفاده می‌کند تا کدهای مخرب را با استفاده از درخواست‌های HTTP GET از سرورهای فرمان و کنترل (C&C) دریافت کند. پس از بارگیری payload مخرب از سرور C&C، بدافزار اقدامات مخربی را انجام می‌دهد که شامل موارد زیر هستند: • دست‌کاری کارها و اسکریپت‌های زمان‌بندی شده در سیستم‌عامل، • جلوگیری از به‌روزرسانی Firmware، • جلوگیری از اجرای برنامه حذف بدافزار در QNAP (QNAP MalwareRemover)، • استخراج نام‌کاربری و گذرواژه‌های ذخیره شده در دستگاه و ارسال آن‌ها به سرورهای C&C، • بارگیری قابلیت‌های جدید بصورت ماژولار از سرورهای C&C.

بدافزار QSnatch را می‌توان با گزینه بازگشت به تنظیمات کارخانه در دستگاه QNAS حذف کرد که این راه اطلاعات ذخیره شده در دستگاه را به طور کامل پاک می‌کند. شرکت QNAP یک اطلاعیه امنیتی مربوط به بدافزار QSnatch منتشر کرده است و راهکارهای زیر برای حذف بدافزار و جلوگیری از حملات توصیه شده‌اند: • به‌روزرسانی QTS به آخرین نسخه، • نصب و به‌روزرسانی Security Counselor به آخرین نسخه، • نصب و به‌روزرسانی QNAP MalwareRemover به آخرین نسخه (نسخه‌های ۳,۵.۴.۰ و ۴.۵.۴.۰ برنامه QNAP MalwareRemover به منظور حذف بدافزار QSnatch منتشر شده‌اند)، • استفاده از گذرواژه قوی برای حساب‌های کاربری، • فعالسازی موارد Account Access Protection و IP Access Protection، • غیرفعالسازی SSH و Telnet در صورت عدم استفاده از این سرویس‌ها، • جلوگیری از استفاده از پورت‌های پیش‌فرض ۴۴۳ و ۸۰۸۰.

منبع خبر: مرکز مدیریت راهبردی افتا