بر اساس توصیه‌نامه‌ امنیتی شرکت کیونپ (QNAP Systems, Inc.) ، دستگاه‌های NAS (Network Attached Storage) ساخت این شرکت هدف حملات موسوم به Cryptomining قرار گرفته‌اند.

به گزارش مرکز مدیریت راهبردی افتا، در جریان حملات مذکور، مهاجمان، بدافزاری را بر روی دستگاه هک‌شده اجرا می‌کنند که امکان استخراج رمزارز را با استفاده از منابع دستگاه برای آنها فراهم می‌کند. بدافزاری از نوع Cryptominer که در این کارزار بر روی دستگاه‌های آسیب‌پذیر نصب شده، پروسه جدیدی به نام [oom_reaper]  ایجاد می‌کند که منجر به استخراج ارز دیجیتال بیت‌کوین می‌شود.
در حین اجرا، بدافزار مذکور می‌تواند تا ۵۰ درصد از تمام منابع CPU را اشغال کند و تظاهر می‌کند که یک پروسه هسته (با PID بالاتر از ۱۰۰۰) است.
این شرکت در اطلاعیه خود که آن را ۱۶ آذر منتشر کرده، به مشتریانی که نسبت به آلودگی تجهیزات NAS خود به این استخراج‌کننده رمزارز، مشکوک هستند توصیه کرده است، دستگاه NAS را دوباره راه‌اندازی کنند، چرا که ممکن است این امر منجر به حذف بدافزار شود.
همچنین شرکت کیونپ برای درامان ماندن از این حملات، به کاربران دستگاه‌های NAS، انجام اقدامات زیر را توصیه می‌کند:
QTS یا QuTS hero به آخرین نسخه موجود به‌روزرسانی شوند.
Malware Remover نصب شود و یا در صورت نصب بودن، به آخرین نسخه آن به‌روزرسانی شود.
از رمزهای عبور پیچیده و قوی‌تر برای کاربران با سطح دسترسی Admin و سایر حساب‌های کاربری استفاده شود.
همه برنامه‌های کاربردی نصب شده به آخرین نسخه خود ارتقاء داده شوند.
تجهیزات NAS به اینترنت متصل نشوند یا از به‌کارگیری درگاه‌های پیش‌فرض (۴۴۳ و ۸۰۸۰) خودداری شود.
شرکت کیونپ به مشتریان تجهیزات NAS توصیه اکید کرده است که دراسرع‌وقت برای محافظت از دستگاه‌های خود بر اساس توصیه‌نامه منتشر شده به نشانی زیر اقدام کنند.

https://www.qnap.com/en/security-advisory/QSA-۲۱-۵۶

تجهیزات NAS ساخت شرکت کیونپ، همواره هدف جذابی برای مهاجمان بوده‌اند و این اولین باری نیست که در سال جاری میلادی هدف بدافزارهای استخراج رمزارز قرار می‌گیرند.
در ماه مارس، محققان شرکت چیهو ۳۶۰ (Qihoo ۳۶۰, Ltd) گزارشی منتشر کردند که دستگاه‌های NAS ساخت شرکت کیونپ هدف حملات موسوم به Cryptojacking قرار گرفتند. در جریان حملات مذکور، یک cryptominer با نام UnityMiner از دو آسیب‌پذیری از نوع RCE (اجرای فرمان از راه دور) به شناسه‌های CVE-۲۰۲۰-۲۵۰۶ و CVE-۲۰۲۰-۲۵۰۷ در دستگاه‌های آسیب‌پذیر و بدون وصله کیونپ سوءاستفاده کرد. این در حالی بود که اصلاحیه دو آسیب‌پذیری مذکور از ماه‌ها قبل‌تر در دسترس قرار داشت.

در گزارش چیهو ۳۶۰ ،اشاره شده بود که مهاجمان با مخفی‌سازی پروسه و اطلاعات واقعی میزان استفاده از CPU، عملاً فعالیت‌های غیرعادی دستگاه را از دید کاربران در هنگام استفاده از رابط کاربری مخفی می‌کنند.
در ماه ژانویه نیز از کاربران تجهیزات ساخت شرکت کیونپ خواسته شد تا در برابر کارزاری بدافزاری که پس از ایجاد پروسه‌های dovecat و dedpma که تقریباً تمام منابع سیستم را مصرف کرده و دستگاه‌ها را عملاً غیرقابل‌استفاده می‌کردند، با به‌روزرسانی از دستگاه‌های خود محافظت کنند.
کیونپ در ماه می ۲۰۲۱ نیز تنها دوهفته پس از هشدار به مشتریان خود در مورد انتشار باج‌افزار AgeLocker، در مورد حملات باج‌افزار eCh۰raix که با نام QNAPCrypt نیز شناخته می‌شود، دوباره هشدار داد. نخستین نسخه از باج‌افزار مذکور در ژوئن سال ۲۰۱۶ منتشر شد. این باج‌افزار چندین بار در مقیاس گسترده در ژوئن ۲۰۱۹ و ژوئن ۲۰۲۰ تجهیزات NAS شرکت کیونپ را هدف حملات قرار داده است.
 این گروه باج‌افزاری، از آسیب‌پذیری به شناسه CVE-۲۰۲۱-۲۸۷۹۹ – ضعف امنیتی که به مهاجم امکان دسترسی از طریق اطلاعات اصالت‌سنجی پیش‌فرض (Backdoor Account) را می‌دهد برای رمزگذاری دستگاه‌های کیونپ استفاده می‌کنند.
 آسیب‌پذیری مذکور در حملات گسترده باج‌افزار Qlocker در آوریل نیز استفاده شده بود. 
مهاجمان تنها در پنج‌روز با قفل‌کردن اطلاعات قربانیان با استفاده از File Archiver منبع‌باز ۷zip،  دویست و ۶۰ هزار دلار به دست آوردند.
به مشتریان تجهیزات کیونپ توصیه می‌شود، با انجام اقدامات دیگری که شرکت کیونپ در نشانی زیر توصیه کرده است، دستگاه‌های NAS خود را در برابر حملات، بیشتر ایمن کنند:

https://www.qnap.com/en/how-to/faq/article/what-is-the-best-practice-for-enhancing-nas-security

منبع:

https://www.bleepingcomputer.com/news/security/qnap-warns-users-of-bitcoin-miner-targeting-their-nas-devices

(با تشکر از شرکت مهندسی شبکه‌گستر برای همکاری در تهیه این گزارش)