群暉科技 NAS 系統遭殭屍網路程式 StealthWorker 攻擊

台灣 NAS 業者群暉科技（Synology）本周對用戶發出公告，警告一隻殭屍網路程式 (botnet) 企圖感染它們的 NAS 系統，以用來進行惡意活動。

群暉科技指出，名為 StealthWorker 的殭屍網路程式並非攻擊產品漏洞，而是利用大量已被感染的裝置以常見的管理密碼來暴力破解它的 NAS 系統，並在用戶未察覺情況下安裝惡意程式。

這類暴力破解並非高明手法，但是相當有效。群暉科技表示，遭 StealthWorker 感染的裝置可能對其他 Linux 裝置，包括 Synology NAS 發動攻擊，而植入的程式有許多，也可能包含勒索軟體。

殭屍網路程式攻擊 NAS 系統再散佈勒索軟體相當合理，因為這些裝置就是用來儲存重要檔案、系統備份及機密資訊。而在感染勒索軟體後，NAS 所有者極可能面臨無法再存取資料的窘境。

StealthWorker 首見於 2019 年 2 月，當時它被用於駭入常見的電商網站，包括 Magento、phpMyAdmin、cPanel 的漏洞，植入資料側錄程式來竊取消費者信用卡號碼及個資。

之後 StealthWorker 變成以暴力破解為主要攻擊手法，像是這次發生在 Synology 產品的事件。而且，StealthWorker 除了 Linux 平台之外，也攻擊 Windows 系統。不過不清楚群暉科技發現的是否為專門鎖定 Linux 平台的變種。

群暉科技表示該公司已經和網路危機應變中心 (CERT) 合作來查緝並關閉 StealthWorker 已知的 C&C (command and control) 伺服器，同時間告知 NAS 受到影響的客戶。

此外，群暉科技也提供確保 NAS 裝置安全的教學素材。大部份建議都是標準的資安管理作業，包括使用強密碼、多因素驗證、並僅以 HTTPS 協定連結網站等。

來源：PC Magazine