吳明宜美、英政府今天發生警告,一隻鎖定台灣的 QNAP NAS 儲存系統的竊密惡意程式 QSnatch,已經感染了全球近 6.2 萬台機器。
美國網路安全暨基礎架構安全署(CISA) 及英國國家網路安全中心(NCSC) 聯合安全報告指出,QSnatch 去年 10 月被人發現迄今,感染的 QNAP 裝置也從一開始的 7,000 多台成長到今年 6 月中的 6.2 萬台,而且北美及歐洲有為數不少的受害者。估計美國和英國各有 7,600 及 3,900 台 QNAP 機器遭到挾持。
QNAP 迄今並未說明 QSnatch 是如何侵入系統的,只說企業應儘速升級到最新版韌體以免再度感染。根據這家公司的技術支援網站,QSnatch 可能是經由 QNAP 韌體的漏洞進入,然後進入作業系統。 QNAP 已經於去年 11 月釋出修補程式。
2019 年以來的爆發其實是 QSnatch 的第二波攻擊或變種。它第一版出現在 2014 年初到 2017 年中,兩者的攻擊程式不同,能力也較少。第二版的 QSnatch 能力很強大。它之所以得名,是因為它可開啟包括 SSH 和 web shell 等多種後門,使遠端駭客得以登入機器。它還能從設備中竊取帳密、系統設定及 log 檔。即使你修補了其中一台 NAS,被竊的帳密可能還是會被用來登入機器或存取網路其他系統。
更厲害的是,它還具能阻止 QNAP NAS 安裝新版韌體。 CISA 、 NCSC 指出,一旦 QNAP NAS 曾經感染 QSnatch,它就會變更 DNS 設定及下載路徑,讓用戶無法下載到最新版韌體。幸好 QSnatch 的後台控制系統現在已經停止運作,美、英政府建議,曾經感染過或是從未升級過韌體的企業用戶都應將系統回復成出廠設定,將可能潛伏的 QSnatch 清除殆盡再來安裝新版韌體。
不過 QSnatch 背後的組織為誰,有什麼目的,目前都還不得而知。唯一能確定的是這隻程式相當複雜,攻擊者對操作安全的知識也相當深厚。
來源:The Register