Qsnatch, il nuovo malware che colpisce i dispositivi NAS QNAP

05/11/2019

malware Qnap

 

A metà ottobre, gli specialisti del National Cyber ​​Security Center Finland (NCSC-FI) hanno individuato un nuovo malware progettato per colpire i dispositivi QNAP NAS (Network Attached Storage).

Ad oggi non è noto il vettore, ma la catena di infezione si avvia tramite un codice dannoso che viene iniettato nel firmware dei dispositivi NAS QNAP ed eseguito come parte delle normali operazioni all’interno del dispositivo.

Infettato il firmware, il dispositivo è compromesso e il malware provvede a recuperare un altro codice dannoso dai server C2. Il metodo di recupero è una richiesta “HTTP GET” verso una url così strutturata: https://<generated-address>/qnap_firmware.xml?=t <timestamp>

Dopo aver scaricato il payload dal server C2, lo eseguirà sul dispositivo QNAP NAS infetto con diritti di sistema ed eseguirà una serie di azioni dannose, tra cui:

  • Impedire aggiornamenti del firmware sovrascrivendo le URL degli aggiornamenti;
  • Impedire l’esecuzione dell’app QNAP MalwareRemover;
  • Può caricare nuove funzionalità dai server C2 per ulteriori attività;
  • Estrae e sottrae credenziali degli utenti e le invia al server C2;
  • Imposta l’attività di call-home sui server C2 per essere eseguita ad intervalli prestabiliti.

Di seguito una mappa dei Paesi dove il malware ha colpito i dispositivi, secondo quanto riporta il CERT-Bund, nella sola Germania sono stati colpiti più di 7000 dispositivi.

 

Secondo quanto riportato nel bollettino Qnap, i dispositivi NAS interessati sono:

  • Dispositivi NAS QNAP con QTS 4.2.6 build 20181227;
  • QTS 4.3.3 build 20190102;
  • QTS 4.3.4 build 20190102;
  • QTS 4.3.6 build 20181228 e versioni precedenti.

Qnap ha inoltre rilasciato un comunicato nel quale consiglia di eseguire alcuni passaggi dopo aver rimosso QSnatch dai dispositivi compromessi:

  • Modifica delle credenziali per tutti gli account del dispositivo;
  • Rimozione di possibili account utente sconosciuti;
  • Rimozione di applicazioni sconosciute o non utilizzate dal dispositivo;
  • Installazione dell’ultimo aggiornamento del firmware del NAS QNAP disponibile.

QSnatch è la quarta variante di malware rilevata quest’anno che ha preso di mira i dispositivi NAS.