Há um mistério no ar: existem cerca de 62 mil dispositivos NAS (network attached storage) fora de operação no mundo inteiro, depois de terem sido congelados pelo malware QSnatch. O malware impede que o firmware do dispositivo seja atualizado, e até agora não se sabe qual o vetor de ataque e quem são os atacantes. A QNAB é um fabricante de Taiwan, especializado em dispositivos de armazenamento.
Na verdade o malware QSnatch é capaz de uma variedade de outras ações, incluindo o roubo de credenciais de login e dos dados de configuração do NAS. Isso significa que mesmo aquelas que foram atualizadas e reiniciadas muitas vezes são comprometidas logo a seguir. As primeiras informações sobre o assunto vieram ontem do NCSC, o Centro Nacional de Segurança Cibernética do Reino Unido, e da CISA, dos EUA, que revelaram a escala do problema num comunicado conjunto.
Veja isso
IBM alerta para malware iraniano que apaga dados em disco
Cibercrime internacional já opera com trojans feitos no Brasil
Os atacantes responsáveis pelo problema, segundo as duas agências, ”demonstram consciência da segurança operacional”. O comunicado acrescenta que suas “identidades e objetivos” são desconhecidos e que mais de 3.900 dispositivos QNAP NAS foram comprometidos no Reino Unido, 7.600 nos EUA e mais de 28.000 na Europa Ocidental.
A empresa informa que já entregou mais de três milhões de dispositivos mas se recusa a revelar o vetor de ameaças “por razões de segurança”. Um usuário contou no Reddit que numa conversa com um representante da empresa foi informado que existem duas vulnerabilidades: “Uma delas em um componente da biblioteca de mídia, CVE-2017-10700; a outra é um zero day no módulo Music Station (de agosto de 2018) que permite a um invasor comandos como root”.
A QNAP alertou sobre a ameaça em novembro de 2019 e divulgou orientações na época, mas o NCSC disse que muitos dispositivos permanecem infectados. Para impedir a reinfecção, os proprietários precisam fazer um factory reset, pois o malware tem modos de garantir sua persistência.
“O invasor modifica o arquivo do host do sistema, redirecionando os principais nomes de domínio usados pelo NAS para versões desatualizadas, para que as atualizações nunca possam ser instaladas”, observou o NCSC, acrescentando que, em seguida, é usado um algoritmo de geração de domínio para estabelecer um canal de comando e controle (C2) que “gera periodicamente vários nomes de domínio para uso nas comunicações C2”.