Các cơ quan an ninh mạng ở Mỹ và Anh hôm qua đã ban hành một chung tham mưu về một mối đe dọa phần mềm độc hại lớn đang diễn ra lây nhiễm các thiết bị lưu trữ gắn mạng (NAS) của công ty Đài Loan QNAP.
Được gọi là QSnatch (hay Derek), phần mềm độc hại đánh cắp dữ liệu được cho là đã xâm phạm 62.000 thiết bị kể từ khi các báo cáo xuất hiện vào tháng 10 năm ngoái, với mức độ lây nhiễm cao ở Tây Âu và Bắc Mỹ.
“Tất cả các thiết bị NAS QNAP đều có khả năng bị tấn công bởi phần mềm độc hại QSnatch nếu không được cập nhật các bản sửa lỗi bảo mật mới nhất”, Cơ quan an ninh cơ sở hạ tầng và an ninh mạng Hoa Kỳ (CISA) và Trung tâm an ninh mạng quốc gia Anh (NCSC) cho biết.
“Hơn nữa, một khi thiết bị đã bị nhiễm, kẻ tấn công có thể ngăn quản trị viên chạy thành công các bản cập nhật firmware.”
Chế độ thỏa hiệp, tức là vectơ lây nhiễm, vẫn chưa rõ ràng, nhưng CISA và NCSC cho biết chiến dịch đầu tiên có thể bắt đầu vào năm 2014 và tiếp tục đến giữa năm 2017 trước khi tăng cường trong vài tháng qua để lây nhiễm khoảng 7.600 thiết bị ở Mỹ và khoảng 3.900 thiết bị ở Anh.
Kết thúc 7.000 thiết bị NAS đã được nhắm mục tiêu với phần mềm độc hại chỉ riêng ở Đức, theo Nhóm Ứng phó khẩn cấp máy tính của Đức (CERT-Bund) vào tháng 10 năm 2019.
Mặc dù cơ sở hạ tầng được sử dụng bởi các tác nhân xấu trong cả hai chiến dịch hiện không hoạt động, làn sóng tấn công thứ hai liên quan đến việc tiêm phần mềm độc hại trong giai đoạn lây nhiễm và sau đó sử dụng thuật toán tạo miền (DGA) để thiết lập kênh chỉ huy và kiểm soát (C2) để liên lạc từ xa với các máy chủ bị nhiễm và lọc dữ liệu nhạy cảm.
“Hai chiến dịch được phân biệt bởi tải trọng ban đầu được sử dụng cũng như một số khác biệt về khả năng”, các cơ quan cho biết.
Phiên bản mới nhất của QSnatch đi kèm với một loạt các tính năng, bao gồm trình ghi mật khẩu CGI sử dụng màn hình đăng nhập quản trị giả để chụp mật khẩu, trình quét thông tin xác thực, cửa sau SSH có khả năng thực thi mã tùy ý và chức năng vỏ web để truy cập thiết bị từ xa.
Ngoài ra, phần mềm độc hại tăng tính bền bỉ bằng cách ngăn các bản cập nhật được cài đặt trên thiết bị QNAP bị nhiễm, được thực hiện bằng cách “chuyển hướng tên miền lõi được sử dụng bởi NAS sang các phiên bản lỗi thời cục bộ để cập nhật không bao giờ được cài đặt.”
Hai cơ quan đã kêu gọi các tổ chức để đảm bảo các thiết bị của họ không bị xâm phạm trước đó và nếu vậy, hãy chạy lại toàn bộ cài đặt gốc trên thiết bị trước khi thực hiện nâng cấp firmware. Bạn cũng nên làm theo lời khuyên bảo mật của QNAP để ngăn ngừa lây nhiễm bằng cách làm theo các bước được liệt kê ở đây.
“Xác minh rằng bạn đã mua các thiết bị QNAP từ các nguồn có uy tín”, CISA và NCSC đề xuất như một phần của giảm thiểu bổ sung chống lại QSnatch. “Chặn các kết nối bên ngoài khi thiết bị dự định sẽ được sử dụng nghiêm ngặt cho bộ nhớ trong.”
