بر اساس توصیهنامه امنیتی شرکت کیونپ (QNAP Systems, Inc.) ، دستگاههای NAS (Network Attached Storage) ساخت این شرکت هدف حملات موسوم به Cryptomining قرار گرفتهاند.
به گزارش مرکز مدیریت راهبردی افتا، در جریان حملات مذکور، مهاجمان، بدافزاری را بر روی دستگاه هکشده اجرا میکنند که امکان استخراج رمزارز را با استفاده از منابع دستگاه برای آنها فراهم میکند. بدافزاری از نوع Cryptominer که در این کارزار بر روی دستگاههای آسیبپذیر نصب شده، پروسه جدیدی به نام [oom_reaper] ایجاد میکند که منجر به استخراج ارز دیجیتال بیتکوین میشود.
در حین اجرا، بدافزار مذکور میتواند تا ۵۰ درصد از تمام منابع CPU را اشغال کند و تظاهر میکند که یک پروسه هسته (با PID بالاتر از ۱۰۰۰) است.
این شرکت در اطلاعیه خود که آن را ۱۶ آذر منتشر کرده، به مشتریانی که نسبت به آلودگی تجهیزات NAS خود به این استخراجکننده رمزارز، مشکوک هستند توصیه کرده است، دستگاه NAS را دوباره راهاندازی کنند، چرا که ممکن است این امر منجر به حذف بدافزار شود.
همچنین شرکت کیونپ برای درامان ماندن از این حملات، به کاربران دستگاههای NAS، انجام اقدامات زیر را توصیه میکند:
QTS یا QuTS hero به آخرین نسخه موجود بهروزرسانی شوند.
Malware Remover نصب شود و یا در صورت نصب بودن، به آخرین نسخه آن بهروزرسانی شود.
از رمزهای عبور پیچیده و قویتر برای کاربران با سطح دسترسی Admin و سایر حسابهای کاربری استفاده شود.
همه برنامههای کاربردی نصب شده به آخرین نسخه خود ارتقاء داده شوند.
تجهیزات NAS به اینترنت متصل نشوند یا از بهکارگیری درگاههای پیشفرض (۴۴۳ و ۸۰۸۰) خودداری شود.
شرکت کیونپ به مشتریان تجهیزات NAS توصیه اکید کرده است که دراسرعوقت برای محافظت از دستگاههای خود بر اساس توصیهنامه منتشر شده به نشانی زیر اقدام کنند.
https://www.qnap.com/en/security-advisory/QSA-۲۱-۵۶
تجهیزات NAS ساخت شرکت کیونپ، همواره هدف جذابی برای مهاجمان بودهاند و این اولین باری نیست که در سال جاری میلادی هدف بدافزارهای استخراج رمزارز قرار میگیرند.
در ماه مارس، محققان شرکت چیهو ۳۶۰ (Qihoo ۳۶۰, Ltd) گزارشی منتشر کردند که دستگاههای NAS ساخت شرکت کیونپ هدف حملات موسوم به Cryptojacking قرار گرفتند. در جریان حملات مذکور، یک cryptominer با نام UnityMiner از دو آسیبپذیری از نوع RCE (اجرای فرمان از راه دور) به شناسههای CVE-۲۰۲۰-۲۵۰۶ و CVE-۲۰۲۰-۲۵۰۷ در دستگاههای آسیبپذیر و بدون وصله کیونپ سوءاستفاده کرد. این در حالی بود که اصلاحیه دو آسیبپذیری مذکور از ماهها قبلتر در دسترس قرار داشت.
در گزارش چیهو ۳۶۰ ،اشاره شده بود که مهاجمان با مخفیسازی پروسه و اطلاعات واقعی میزان استفاده از CPU، عملاً فعالیتهای غیرعادی دستگاه را از دید کاربران در هنگام استفاده از رابط کاربری مخفی میکنند.
در ماه ژانویه نیز از کاربران تجهیزات ساخت شرکت کیونپ خواسته شد تا در برابر کارزاری بدافزاری که پس از ایجاد پروسههای dovecat و dedpma که تقریباً تمام منابع سیستم را مصرف کرده و دستگاهها را عملاً غیرقابلاستفاده میکردند، با بهروزرسانی از دستگاههای خود محافظت کنند.
کیونپ در ماه می ۲۰۲۱ نیز تنها دوهفته پس از هشدار به مشتریان خود در مورد انتشار باجافزار AgeLocker، در مورد حملات باجافزار eCh۰raix که با نام QNAPCrypt نیز شناخته میشود، دوباره هشدار داد. نخستین نسخه از باجافزار مذکور در ژوئن سال ۲۰۱۶ منتشر شد. این باجافزار چندین بار در مقیاس گسترده در ژوئن ۲۰۱۹ و ژوئن ۲۰۲۰ تجهیزات NAS شرکت کیونپ را هدف حملات قرار داده است.
این گروه باجافزاری، از آسیبپذیری به شناسه CVE-۲۰۲۱-۲۸۷۹۹ – ضعف امنیتی که به مهاجم امکان دسترسی از طریق اطلاعات اصالتسنجی پیشفرض (Backdoor Account) را میدهد برای رمزگذاری دستگاههای کیونپ استفاده میکنند.
آسیبپذیری مذکور در حملات گسترده باجافزار Qlocker در آوریل نیز استفاده شده بود.
مهاجمان تنها در پنجروز با قفلکردن اطلاعات قربانیان با استفاده از File Archiver منبعباز ۷zip، دویست و ۶۰ هزار دلار به دست آوردند.
به مشتریان تجهیزات کیونپ توصیه میشود، با انجام اقدامات دیگری که شرکت کیونپ در نشانی زیر توصیه کرده است، دستگاههای NAS خود را در برابر حملات، بیشتر ایمن کنند:
https://www.qnap.com/en/how-to/faq/article/what-is-the-best-practice-for-enhancing-nas-security
منبع:
(با تشکر از شرکت مهندسی شبکهگستر برای همکاری در تهیه این گزارش)
دیدگاه شما