آلوده شدن ابزارهای ذخیره سازی شبکه به بدافزار

به گزارش کارگروه امنیت سایبربان؛ گروه واکنش سریع یا سرت آلمان (CERT)، به تازگی نسبت به گسترش بدافزار «کیواسنچ» (QSnatch) و آلوده شدن 7 هزار دستگاه ذخیره‌ساز متصل به شبکه (NAS) شرکت «QNAP» به آن تنها در آلمان هشدار داده است. کواسنچ ابزارهای ذخیره‌ساز متصل به شبکه‌ای را مورد حمله قرار می‌دهد که فریم ویر (Firmware) آن بروزرسانی نشده باشد.

بدافزار کیواسنچ اولین بار در اواسط اکتبر 2019 به واسطه مرکز امنیت سایبری ملی فلاند (NCSC-FI) شناسایی شود. کارشناسان این مرکز در آن زمان گفته بودند. آن‌ها شرح داده بودند که خدمات آتوریپورتر (AutoReporter)، تعداد بسیاری از ابزارها شناسایی کرده است که سعی داشتند به سرورهای فرماندهی و کنترل (C&C) خاصی ارتباط برقرار کنند. آتوریپورتر یک سیستم تولید هشدار برای مدیران شبکه است که نسبت به ناهنجاری‌های امنیتی موجود در آن هشدار می‌دهد.

مرکز یاد شده در گزارش خود نوشت:

نرم‌افزار مخرب مذکور در اصل به عنوان یک کاپهاو (Caphaw) توسعه پیدا کرده است. بدافزاری که سیستم‌های عامل ویندوز را هدف قرار می‌دهد؛ اما پارامترهای به کار رفته در ترافیک فرماندهی و کنترل دارای شاخص‌های قدرتمندی از ابزارهای QNAP هستند. همین موضوع باعث آغاز تحقیقات شد.

تحلیل‌های انجام شده روی کیواسنچ مشخص کرد که پس از آلوده شدن سیستم قربانی به بدافزار، کدهایی مخرب به داخل فریم‌ویر آن تزریق می‌کند. سپس از الگوریتم‌های تولید دامنه به منظور دانلود بدافزاری بیشتر از طرف سرورهای فرماندهی و کنترل بهره می‌گیرد.

با توجه به گزارش یاد شده، تعدادی از قابلیت‌های کیواسنچ شامل موارد زیر است:

•    اعتبارنامه‌های همه‌ی کاربران ذخیره‌ساز متصل به شبکه را استخراج می‌کند.
•    دست‌کاری زمان‌بندی کارها و اسکریپت‌ها در سیستم‌عامل
•    بازنویسی آدرس اینترنتی منبع بروزرسانی‌ها به منظور جلوگیری از دریافت وصله‌هایی که در آینده برای فریم ویر منتشر می‌شوند.
•    جلوی اجرای برنامه پاک‌سازی بدافزار محلی ابزار مذکور (QNAP MalwareRemover) را می‌گیرد.

کارشناسان اعلام کردند بهترین راه برای رفع بدافزار کیواسنچ، بازگشت به تنظیمات کارخانه است. همچنین به نظر می‌رسد نصب بروزرسانی منتشر شده در فوریه 2019، ممکن است به رفع آن کمک کند. با وجود این هیچ یک از 2 راه یاد شده هنوز تأیید نشده‌اند.