بر اساس توصیهنامهای امنیتی که شرکت کیونپ (.QNAP Systems, Inc) در تاریخ 16 آذر 1400 منتشر کرده، دستگاههای NASو(Network Attached Storage) ساخت این شرکت هدف حملات موسوم به Cryptomining قرار گرفتهاند.
در این گزارش که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه گردیده بخشی از توصیهنامه منتشر شده توسط شرکت کیونپ مورد بررسی قرار گرفته است.
به گزارش شرکت کیونپ در جریان حملات مذکور، مهاجمان، بدافزاری را بر روی دستگاه هکشده اجرا میکنند که امکان استخراج رمز ارز را با استفاده از منابع دستگاه برای آنها فراهم میکند. بدافزاری از نوع Cryptominer که در این کارزار بر روی دستگاههای آسیبپذیر مستقر شده، پروسه جدیدی به نام [oom_reaper] ایجاد میکند که منجر به استخراج ارز دیجیتال (بیتکوین) میشود.
در حین اجرا، بدافزار مذکور میتواند تا 50 درصد از تمام منابع CPU را اشغال کند و تظاهر میکند که یک پروسه هسته (با PID بالاتر از 1000) میباشد.
این شرکت در ادامه به مشتریانی که نسبت به آلودگی تجهیزات NAS خود به این استخراجکننده رمزارز، مشکوک هستند توصیه نموده دستگاه NAS را مجدداً راهاندازی کنند، چرا که ممکن است این امر منجر به حذف بدافزار شود.
همچنین شرکت کیونپ جهت درامان ماندن از این حملات، به کاربران دستگاههای NAS، انجام اقدامات زیر را توصیه میکند:
- QTS یا QuTS hero به آخرین نسخه موجود بهروزرسانی شوند.
- Malware Remover نصب شود و یا در صورت نصب بودن، به آخرین نسخه آن بهروزرسانی شود.
- از رمزهای عبور پیچیده و قویتر برای کاربران با سطح دسترسی Admin و سایر حسابهای کاربری استفاده شود.
- همه برنامههای کاربردی نصب شده به آخرین نسخه خود ارتقاء داده شوند.
- تجهیزات NAS به اینترنت متصل نشوند یا از بکارگیری درگاههای پیشفرض سیستم (درگاههای شماره 443 و 8080) خودداری شود.
شرکت کیونپ به مشتریان تجهیزات NAS اکیداً توصیه نموده که در اسرع وقت برای محافظت از دستگاههای خود بر اساس توصیهنامه منتشر شده به نشانی زیر اقدام کنند.
https://www.qnap.com/en/security-advisory/QSA-21-56
تجهیزات NAS ساخت شرکت کیونپ، همواره هدف جذابی برای مهاجمان بودهاند و این اولین باری نیست که در سال جاری میلادی هدف بدافزارهای استخراج رمز ارز قرار میگیرند.
در ماه مارس، محققان شرکت چیهو 360 (Qihoo 360, Ltd) گزارشی منتشر کردند که دستگاههای NAS ساخت شرکت کیونپ هدف حملات موسوم به Cryptojacking قرار گرفتند. در جریان حملات مذکور، یک cryptominer با نام UnityMiner اقدام به سوءاستفاده از دو آسیبپذیری از نوع RCE (اجرای فرمان از راه دور) به شناسههای CVE-2020-2506 و CVE-2020-2507 در دستگاههای آسیبپذیر و بدون وصله QNAP نمود. این در حالی بود که اصلاحیه دو آسیبپذیری مذکور از ماهها قبلتر در دسترس قرار داشت.
در گزارش چیهو ۳۶۰ اشاره شده بود که مهاجمان با مخفیسازی پروسه و اطلاعات واقعی میزان استفاده از CPU، عملاً فعالیتهای غیرعادی دستگاه را از دید کاربران در هنگام استفاده از رابط کاربری مخفی میکنند.
در ماه ژانویه نیز از کاربران تجهیزات ساخت شرکت کیونپ خواسته شد تا در برابر کارزاری بدافزاری که پس از ایجاد پروسههای dovecat و dedpma که تقریباً تمام منابع سیستم را مصرف نموده و دستگاهها را عملاً غیرقابل استفاده مینمودند، با بهروزرسانی از دستگاههای خود محافظت کنند.
کیونپ در ماه می 2021 نیز تنها دو هفته پس از هشدار به مشتریان خود در مورد انتشار باجافزار AgeLocker، به آنها در مورد حملات باجافزار eCh0raix که با نام QNAPCrypt نیز شناخته میشود، مجدداً هشدار داد. نخستین نسخه از باجافزار مذکور در ژوئن سال ۲۰۱۶ منتشر شد. این باجافزار چندین بار در مقیاس گسترده در ژوئن ۲۰۱۹ و ژوئن ۲۰۲۰ تجهیزات NAS شرکت کیونپ را هدف حملات قرار داده است.
این گروه باجافزاری، از آسیبپذیری به شناسه CVE-2021-28799 – ضعف امنیتی که به مهاجم امکان دسترسی از طریق اطلاعات اصالتسنجی پیشفرض (Backdoor Account) را میدهد – برای رمزگذاری دستگاههای کیونپ استفاده میکنند. آسیبپذیری مذکور در حملات گسترده باجافزار Qlocker در آوریل نیز مورد سوءاستفاده قرار گرفته بود. مهاجمان تنها در پنج روز با قفل کردن اطلاعات قربانیان با استفاده از File Archiver منبع باز 7zip،و260 هزار دلار به دست آوردند.
به مشتریان تجهیزات کیونپ توصیه میشود، با انجام اقدامات دیگری که شرکت کیونپ در نشانی زیر توصیه کرده، دستگاههای NAS خود را در برابر حملات، بیشتر ایمن کنند:
https://www.qnap.com/en/how-to/faq/article/what-is-the-best-practice-for-enhancing-nas-security