Posté le juillet 28, 2020 à 4:02
LE LOGICIEL MALVEILLANT QSNATCH INFECTE 62 000 APPAREILS NAS QNAP, RÉVÈLENT LA CISA ET LA NCSC
Selon une alerte de sécurité conjointe du Centre national de cybersécurité du Royaume-Uni (NCSC) et de l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA), environ 62 000 NAS QNAP ont été infectés par le logiciel malveillant QSnatch. Le logiciel malveillant a été détecté à la fin de l’année dernière et a infecté plus de 62 000 bots contre 7 000 auparavant.
Les deux agences de cybersécurité des États-Unis et du Royaume-Uni ont publié le rapport aujourd’hui, alertant le public sur cette version du logiciel malveillant qui a infecté des appareils de stockage réseau (NAS) par l’intermédiaire de GNAP, un fabricant taïwanais.
Selon le message d’alerte publié par les deux agences de cybersécurité, l’attaque du logiciel malveillant QSnatch remonte à 2014. Cependant, les attaques ont augmenté au cours de l’année dernière, le nombre d’appareils compromis ayant augmenté à la mi-juin 2020.
Le logiciel malveillant est toujours très actif
Alors que l’infrastructure utilisée par les acteurs est devenue inactive, la deuxième série d’attaques consiste à insérer le logiciel malveillant au stade de l’infection et à mettre en place un canal de commande et de contrôle en utilisant un algorithme d’enregistrement de domaine (DRA).
Les acteurs auront ainsi la possibilité de communiquer avec l’hôte infecté et de voler des données sensibles.
« Les deux campagnes se distinguent par la charge utile initiale utilisée ainsi que par certaines différences de capacités », ont déclaré les agences.
Cette version actuelle de Qsnatch possède un large éventail de fonctionnalités, dont un enregistreur de mots de passe CGI qui utilise l’écran de connexion de l’administrateur pour s’emparer des mots de passe et voler des informations d’identification. Elle intègre également une porte dérobée SSH et une fonctionnalité web-shell qui permet d’accéder à distance aux appareils ciblés.
Parmi les systèmes infectés, la NCSC et la CISA ont révélé qu’environ 3 900 des dispositifs compromis provenaient du Royaume-Uni et environ 7 600 des États-Unis.
Les acteurs ont utilisé un enregistreur de mots de passe CGI, qui installe une fausse version de la page de connexion d’administration de l’appareil, enregistrant les authentifications réussies et les envoyant à la page de connexion authentique.
Une autre des portes dérobées SSH permet au hacker d’exécuter avec succès des codes arbitraires sur l’appareil.
La manière dont le logiciel malveillant a infecté les appareils n’est pas claire
Lorsque le logiciel malveillant QSnatch est exécuté, il vole une liste de fichiers programmés, y compris les fichiers journaux et la configuration du système. Ces fichiers sont ensuite cryptés à l’aide de la clé de connexion publique du hacker et transmis par HTTPS à son infrastructure.
Mais, bien que les experts en sécurité de la NCSC et de la CISA aient réussi à étudier la version actuelle du logiciel malveillant QSnatch, ils ont souligné qu’un mystère leur échappe encore. Les agences affirment qu’elles n’ont aucune idée de la manière dont le logiciel malveillant a réussi à infecter les appareils.
Elles ont répété que les acteurs pourraient utiliser des mots de passe par défaut pour les comptes des administrateurs ou exploiter les vulnérabilités du micrologiciel du QNAP.
Mais une fois que les acteurs ont pris le contrôle des appareils, la NCSC et la CISA affirment que les acteurs injectent le logiciel malveillant QSnatch dans le micrologiciel. À partir de là, le logiciel malveillant prend le contrôle total de l’appareil et bloque toute nouvelle mise à jour du micrologiciel, ce qui permet au logiciel malveillant de rester opérationnel pendant une longue période.
La NCSC et la CISA conseillent aux entreprises de patcher les appareils NAS QNAP
Les deux agences de sécurité sont d’accord sur le fait que les entreprises doivent patcher les dispositifs NAS de QNAP si elles veulent arrêter l’attaque et éviter de futures intrusions sur les appareils. Ils ont déclaré que l’infrastructure utilisée lors de la seconde vague d’attaques est maintenant hors service. Cependant, le logiciel malveillant QSnatch restera actif sur Internet pour tenter d’infecter d’autres appareils.
Les agences ont maintenant averti les entreprises et les autres utilisateurs de ces dispositifs chez eux de renforcer leur sécurité afin d’éviter de futures attaques. Ils devraient suivre les mesures d’atténuation et de correction indiquées sur la page d’aide du fournisseur taïwanais pour arrêter Qsnatch et prévenir de futures attaques.
Les utilisateurs doivent également s’assurer que leurs appareils ne sont pas déjà compromis. Mais s’ils le sont, ils doivent effectuer une réinitialisation complète de leur appareil pour se débarrasser du logiciel malveillant.
Selon les agences, si le logiciel malveillant n’est pas supprimé, il aura accès à une porte dérobée vers les réseaux de l’entreprise, ce qui entraînera de nouvelles attaques. Il donnera également un accès direct aux appareils NAS, dont beaucoup sont utilisés pour stocker des fichiers sensibles.