QSnatch - QNAP NAS -laitteisiin suunnattu haittaohjelma

Kyberturvallisuuskeskus välitti lokakuun puolivälin tienoilla Autoreporter-palvelun kautta havaintoja saastuneista päätelaitteista, jotka yrittävät ottaa yhteyttä tiettyihin komentopalvelimiin. Haittaohjelma kategorisoitiin aluksi Caphaw-tyyppiseksi Windows-haittaohjelmaksi, mutta yhteydenotossa käytetyt parametrit viittasivat vahvasti QNAP-laitteisiin, ja asiaa alettiin tutkia tarkemmin.

Haittaohjelman toiminnasta

Tutkiessa havaintoihin liitettyjä domainnimiä ja kutsuja haittaohjelman toimintalogiikka saatiin avattua tarkemmin. Alkuperäinen tunkeutumistapa laitteen sisään on tuntematon, mutta tässä yhteydessä laitteen käyttöjärjestelmäkoodiin syötetään hyökkääjän lähdekoodia, joka suoritetaan osana laitteen normaaleja operaatioita. Tämän jälkeen laite on saastunut haittaohjelmalla. Haittaohjelma hakee generoimalla muodostuvista DNS-osoitteista lisää haitallista koodia. Kutsumuoto on
"HTTP GET https://<generoitu osoite>/qnap_firmware.xml?t=<aikaleima>", ja tästä kutsusta pystyy erittäin vahvasti tunnistamaan saastuneen laitteen.

Haettu lisämateriaali suoritetaan käyttöjärjestelmän sisällä järjestelmäoikeuksin. Tässä yhteydessä haittaohjelma tekee mm. seuraavaa:

• Muokkaa käyttöjärjestelmän ajastettuja töitä ja käynnistysoperaatioita (cronjob, init scripts)
• Estää päivitysten tekemisen oletusasetuksista ylikirjoittaen päivityslähteen kokonaan
• Estää QNAPin MalwareRemover-toiminnon ajamisen
• Varastaa laitteen käyttöön liittyvät tunnukset salasanoineen ja lähettää ne komentopalvelimelle
• Haittaohjelmassa on myös modulaarinen kyky ottaa vastaan uusia komponentteja yllä olevien operaatioiden lisäksi tehtävien toimenpiteiden suorittamista varten
• Kutsut komentopalvelimelle jäävät ajoon ajastetusti

Haittaohjelmalle annettiin nimeksi QSnatch kohdejärjestelmän ja tietojen varastamisen takia (engl. snatch tarkoittaa nappaamista tai nopeasti viemistä).

Saastuneen laitteen puhdistaminen

Haittaohjelman pystyy poistamaan saastuneesta laitteesta todennäköisesti kahdella eri tavalla: tekemällä laitteeseen täydellisen tehdasasetusten palautuksen (factory reset), joka samassa yhteydessä tuhoaa kaikki laitteeseen tallennetut tiedostot. Toinen varmistamaton keino on laitteen päivittäminen valmistajan ohjeiden mukaisesti (katso linkki alta). Kyberturvallisuuskeskus ei ole pystynyt varmistamaan, puhdistuuko saastunut laite täysin päivityksen suorittamisella, ja valmistaja kommentoi samasta ongelmasta julkaisussaan. Puhdistustoimenpiteiden jälkeen tulee erikseen vielä tehdä alla olevat toimenpiteet:

• Vaihda kaikkien laitteessa olevien tilien salasanat
• Poista tuntemattomat käyttäjätilit laitteesta
• Huolehdi päivityksistä sekä käyttöjärjestelmässä että sen mahdollisissa applikaatioissa
• Poista tuntemattomat tai käyttämättömät applikaatiot
• Asenna QNAPin oma haittaohjelmien torjunta-applikaatio laitteen App center -toiminnon kautta
• Aseta laitteeseen pääsylista käyttöä varten (Control panel -> Security -> Security level)

Epäselvissä tilanteissa suosittelemme ottamaan yhteyttä QNAPin tukeen (linkki alla).

Kyberturvallisuuskeskus suosittelee, että NAS-laitteita ei kategorisesti kytketä suoraan internetiin ilman palomuurausta, jotta laitteeseen ei pysty tunkeutumaan verkosta käsin. Tämän lisäksi päivitysten säännöllinen tekeminen suojaa laitteita haavoittuvuuksien väärinkäytöiltä.

Päivitys 4.11.2019

QNAP on julkaissut päivitetyt ohjeet sekä uudistetun version MalwareRemover-apuohjelmasta haittaohjelman poistamiseksi.

Kyberturvallisuuskeskus kiittää SecurityScorecard-tietoturvayrityksen Doina Cosovania alkuperäisen havainnon tekemisestä sekä yhteistyöstä asian selvittämisessä.