NAS QNAP: dispositivi sotto l’attacco del malware QSnatch

Per totale di 62000 i NAS QNAP sotto l’attacco del malware QSnatch sono distribuiti circa 7600 negli Stati Uniti e circa 3900 nel Regno Unito.

Prodotti dalla Qnap (Quality Network Appliance Provider) Systems, un produttore di dispositivi informatici con sede a Taipei (Taiwan) e specializzata in soluzioni di archiviazione, i NAS QNAP sono per lo più utilizzati in ambito aziendale o professionale.

NAS è l’acronimo di Network Attached Storage, un dispositivo che collegato alla rete permette agli utenti di condividere dati in modo centralizzato. Può essere costituito da uno o più dischi rigidi a seconda della modalità di funzionamento e contiene al proprio interno un processore ed un sistema operativo che ne permette la gestione.

Sulla base dell’importanza dei dati contenuti all’interno di un NAS è necessario prendere delle precauzioni e proteggere in modo adeguato lo storage per garantirne la sicurezza ed evitare il furto di dati.

QSnatch: un perfetto strumento per rubare i dati, ma non solo

QSnatch (noto anche come ‘Derek’) è un malware progettato appositamente per i dispositivi NAS QNAP ed è capace di svolgere diverse attività sul dispositivo infetto.

Ad oggi non è stato ancora rilevato il metodo di infezione, gli esperti però hanno studiato il comportamento di QSnatch appurando che il codice dannoso viene iniettato nel firmware del sistema di destinazione ed eseguito come un normale aggiornamento riuscendo a comprometterne tutte le funzionalità.

Cosa succede quando un dispositivo NAS QNAP è sotto l’attacco del malware QSnatch

All’interno del sistema operativo del NAS QNAP compromesso, il malware effettua le seguenti fasi:

• Modifica gli script schedulati (cronjob, script di init).
• Blocca gli aggiornamenti automatici modificando le fonti di aggiornamento.
• Blocca l’app QNAP MalwareRemove.
• Recupera la lista degli account presenti sul NAS per inoltrarli dopo averli criptati al server dei criminali informatici tramite HTTPS.
• Effettua ad intervalli regolari l’attività di acquisizione dei comandi da parte del server dei criminali informatici.
• Carica le nuove funzionalità dai server per ulteriori attività grazie ad una backdoor SSH.
• Installa una pagina di login falsa e dopo aver registrato i dati di autenticazione redirige l’utente alla pagina legittima di login.

Cosa bisogna fare se i dispositivi NAS QNAP sono infettati dal malware QSnatch e quali sono le precauzioni da prendere

Il metodo consigliato da QNAP è quello di eseguire il reset di fabbrica del dispositivo, aggiornare il NAS all’ultimo firmware disponibile e successivamente aggiornare anche tutte le applicazioni presenti.

Le precauzioni da prendere per evitare che il NAS QNAP venga infettato oltre al normale aggiornamento di firmware e software presenti, sono le seguenti:

• Modificare tutte le password per tutti gli account sul dispositivo utilizzando password complesse.
• Rimuovere eventuali account non utilizzati.
• Abilitare la protezione IP per filtrare gli accessi e prevenire eventuali attacchi a forza bruta.
• Disabilitare se non utilizzati i servizi SSH e Telnet.
• Disabilitare se non utilizzati i servizio di Web Server, SQL server o phpMyAdmin.
• Evitare di utilizzare le porte convenzionali come la 22, 443, 80, 8080 e 8081.
• Disabilitare la funzione di Auto Router Configuration.

NCSC e CISA raccomandano inoltre di considerare le seguenti mitigazioni:

• Verificare di aver acquistato i dispositivi QNAP da fonti affidabili.
• Bloccare le connessioni esterne quando il dispositivo deve essere utilizzato esclusivamente per la gestione e la memorizzazione interna dei dati.