19:44
27/7/2020

QSnatch to trojan, który atakuje NAS-y QNAP-a. Właśnie ostrzegli przed nim Amerykanie i Brytyjczycy, którzy zaobserwowali spory wzrost infekcji.

Historia QSnatcha sięga 2014 roku, ale to przez ostatnie 12 miesięcy liczba zainfekowanych nim urządzeń wzrosła z 7000 do aż 62 000 (na koniec czerwca, co oznacza, że teraz jest ich pewnie jeszcze więcej).

QSnatch wykrada hasła przez podstawiona fałszywą stronę logowania, zostawia backdoora na SSH i zgrywa z urządzenia pliki, w tym konfiguracyjne. Atakujący mają też bezpośredni zdalny dostęp do urządzenia przez podrzucanego webshella.

Tajemnicą pozostaje jak QSnatch dostaje się na urządzenia. Badania Amerykanów i Brytyjczyków nie są tu jednoznaczne. Punktem wejścia może być wykorzystywanie domyślnych haseł jak i dziur w poprzednich wersjach firmware’u.

Jeśli macie QNAP-a odwiedźcie stronę producenta informującą jak wykryć i pozbyć się tego szkodnika.

Przeczytaj także:



11 komentarzy

Dodaj komentarz
  1. Już dawno nie jest ta wiadomość aktualna.
    Powinna być informacja: jeżeli nie zaktualizowałeś QTS, to Ciebie to dotyczy!

  2. Ale Panowie o qsnatch było wiadomo 5 lat temu teraz to nieaktualne
    Skąd macie te niusy?

    • Przeczytaj dokładnie. Właśnie opublikowano raport dwóch stowarzyszeń zwracający uwagę na bardzo wysoki wzrost liczby infekcji. Albo zmienił się wektor ataku albo dorzucili do pieca.

  3. Ja właśnie dzięki temu artykułowi sprzed kilku godzin zorientowałem się, że mam jakiś problem. Myślałem, że mój NAS po prostu przestał być aktualizowany przez producenta bo ostatnia aktualizacja firmware była 2018/08 wg systemu (nas z 2012). Zainstalowałem dziś ręcznie aplikację Malware Remover (bo takiej w sklepie nie było), system się przeskanował i wykrył zagrożenia. Po restracie QNAP od razu wyskoczył z monitem o aktualizację firmware do wersji z lipca 2020..

  4. Sprawa jest prosta, jeżeli masz aktualny firmware nic Ci nie grozi. Jeżeli masz to w du… i ostatnio kiedy, aktualizowałeś firmware był to dzień zakupu serwera to masz problem. Nic dodać nic ująć, sprawa stara jak świat, najsłabszym ogniwem zawsze jest człowiek, większość przypadków utraty danych na świecie to właśnie czynnik ludzki. Niestety nikt nikogo do aktualizacji zmusić nie może :(

  5. Pamiętam jedno urządzenie QNAP (któryś model rack 19″, z 8 dyskami) z poprzedniego miejsca pracy. Służyło do tymczasowych backupów oraz przechowywania np. instalek i innych dużych, ale mniej cennych plików. Ze względu na jakieś ograniczenie w firmware, którego już nawet w szczegółach nie pamiętam, uruchomiłem na tym sprzęcie zwykłego Debiana. W środku jest zwykły, ubogi server PC, firmware to typowy PC BIOS, a pod jedną z osłon było nawet gniazdo VGA. Alternatywny system można uruchomić z bootowalnego pendrive, ewentualnie nadpisując firmware na wbudowanym dysku SSD (o bardzo skromnej pojemności rzędu 128 albo 256 MiB – zgadza się, MiB a nie GiB).

  6. Dziękujemy za czujność “Release date: November 1, 2019” oczywiście lepsze to niż nic !

    • Raport o nagłym wzroście zainfekowanych jest z wczoraj.

      Version 1.0 27July 2020, © Crown Copyright 2020

  7. Czy Qnap może się zarazić pomimo że jest tylko używany w wewnętrznej sieci?

  8. Mam qnapa 253be którego używam od 2 lat, na nim głównie trzymam zdjęcia. Internet od upc qnap jest w sieci wewnętrznej brak wystawionych portów na zewnątrz. W styczniu wrócił po naprawie gwarancyjnej i aktualizowalem go raz czy dwa od tego czasu miał qts 4.4.1, przez ostatnie 2 tygodnie stał odłączony. Po podłączeniu zaktualizował się do 4.4.3 i malware remover z automatu został dodany znalazł qsnatcha. Także albo z jakimś softem/firmware to przyszło albo dziura większa niz mogę sobie wyobrazić, w ostatnim czasie jeden komp z ubuntu był podłączony i jeden z w10 z esetem.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: