Thứ Hai vừa qua, cơ quan an ninh mạng của Mỹ và Anh đã hợp tác công bố một bản tư vấn bảo mật để cảnh báo người dùng về một loại mã độc nguy hiểm đang lây nhiễm trên các thiết bị NAS (Network Attached Storage) của QNAP – nhà cung cấp các giải pháp lưu trữ và quản lý camera IP của Đài Loan.
Được gọi là QSnatch (hay Derek), mã độc đánh cắp dữ liệu này được cho là đã xâm nhập vào 62.000 thiết bị kể từ khi các báo cáo xuất hiện vào tháng 10 năm ngoái, với mức độ lây nhiễm cao tại khu vực Tây Âu và Bắc Mỹ.
“Tất cả các thiết bị NAS của QNAP đều đối mặt với nguy cơ bị tấn công bởi mã độc QSnatch nếu chúng chưa được cập nhật bản vá bảo mật mới nhất,” Cơ quan an ninh mạng CISA của Hoa Kỳ cùng Trung tâm an ninh mạng quốc gia Anh (NCSC) cho biết.
“Hơn nữa, một khi thiết bị bị nhiễm độc, kẻ tấn công hoàn toàn có thể cản trở quá trình cập nhật firmware của quản trị viên.”
Hiện tại các nhà nghiên cứu vẫn chưa biết rõ vectơ tấn công của những kẻ tấn công này, nhưng CISA và NCSC cho biết có vẻ như chiến dịch này đã bắt đầu từ năm 2014 và tiếp tục diễn ra cho đến giữa năm 2017 trước khi nó bất ngờ đẩy mạnh tấn công trong vài tháng qua và lây nhiễm khoảng 7.600 thiết bị tại Mỹ và khoảng 3.900 thiết bị tại Anh.
Theo trung tâm ứng cứu khẩn cấp không gian mạng Đức (CERT-Bund) thì chỉ riêng vào tháng 10 năm 2019 đã có hơn 7.000 thiết bị NAS bị QSnatch tấn công tại quốc gia này.
Mặc dù cơ sở hạ tầng được sử dụng trong hai chiến dịch hiện đều không hoạt động, song ở chiến dịch thứ hai, những kẻ tấn công này đã thực hiện chèn mã độc ở giai đoạn lây nhiễm và sau đó sử dụng một thuật toán tạo tên miền (DGA) nhằm thiết lập một kênh chỉ huy và kiểm soát (C2) để liên lạc từ xa với các máy chủ bị lây nhiễm và đánh cắp dữ liệu nhạy cảm.
“Hai chiến dịch này khác nhau ở payload ban đầu mà chúng sử dụng cũng như một số khác biệt về khả năng tấn công của chúng,” các cơ quan an ninh mạng cho biết.
Được biết phiên bản mới nhất của mã độc QSnatch đi kèm với một loạt các tính năng khác nhau, bao gồm một phần mềm keylogger CGI sử dụng một màn hình đăng nhập giả để ghi lại mật khẩu, một trình trích xuất thông tin xác thực (credential scraper), một SSH backdoor có khả năng thực thi mã tùy ý, và cuối cùng là một web shell có chức năng cho phép truy cập thiết bị từ xa.
Ngoài ra, mã độc này còn có thể duy trì tấn công bằng cách cản trở quản trị viên cài đặt các bản cập nhật trên thiết bị QNAP bị ảnh hưởng. Chúng thực hiện điều này bằng cách “chuyển hướng các tên miền chính được sử dụng bởi NAS sang các phiên bản đã hết hiệu lực để các bản cập nhật mới không bao giờ được cài đặt.”
Hai cơ quan an ninh mạng của Mỹ và Anh đã đồng thời kêu gọi các tổ chức thực hiện kiểm tra bảo mật để đảm bảo thiết bị của họ không bị xâm phạm trước đó bằng cách khôi phục toàn bộ cài đặt gốc trên thiết bị trước khi thực hiện nâng cấp firmware. Các cơ quan này cũng khuyến nghị người dùng nên tuân thủ tư vấn bảo mậtcủa QNAP để ngăn ngừa lây nhiễm một cách tối đa.
“Hãy chắc chắn rằng bạn đã mua các thiết bị lưu trữ của QNAP từ các địa chỉ uy tín. Cũng như cần lưu ý chặn tất cả kết nối bên ngoài nếu thiết bị của bạn hoàn toàn được dùng để lưu trữ những dữ liệu nội bộ quan trọng,” CISA và NCSC đề xuất.
