Das Cyber Emergency Response Team (CERT) der finnischen Transport and Communications Agency (NCSC-FI) hat vergangene Woche eine Malware entdeckt, die Netzwerkspeicher (Network Attached Storages, NAS) des Herstellers QNAP befällt.

Der auf den Namen „QSnatch“ getaufte Schädling nistet sich laut NCSC-FI dauerhaft auf Geräten ein, indem er deren Firmware modifiziert und künftige Hersteller-Updates verhindert. Weiterhin stiehlt er die Zugangsdaten der NAS, kommuniziert in regelmäßigen Abständen mit einem entfernten Command-and-Control-Server und ist theoretisch in der Lage, weitere Schadfunktionen als Module nachzuladen. Über den initialen Angriffsvektor ist bislang nichts bekannt.

CERT-Bund schreibt, dass nach aktuellen Erkenntnissen Geräte betroffen seien, die (über eine Port-Weiterleitung) aus dem Internet erreichbar seien und auf denen eine veraltete Firmware-Version laufe. Ähnlich äußert sich auch das finnische CERT.

Die beste Schutzmaßnahme gegen QSnatch dürfte somit sein, NAS gar nicht erst über das Internet erreichbar zu machen.

Gegen bestehende Infektionen hilft laut NCSC-FI das komplette Zurücksetzen der NAS auf Werkseinstellungen (Factory Reset). Auch ein Update des QNAP-Betriebssystems/Firmware QTS ist in jedem Fall ratsam – ob es allerdings bestehende Infektionen behebt, ist laut NCSC-FI bislang unklar: „NCSC-FI has not been able to confirm whether the update actually removes the malware, and this is also acknowledged by the manufacturer“, heißt es in der Analyse. Ebenso wenig geht aus der Veröffentlichung des NCSC-FI hervor, ob das Update helfen kann, Infektionen von vornherein zu verhindern.

Im Anschluss an die Bereinigung eines Gerätes rät das finnische Forscherteam dazu,

  • die Passwörter aller Accounts des NAS zu ändern,
  • unbekannte Nutzeraccounts zu entfernen,
  • neben der Firmware auch alle Anwendungen zu aktualisieren,
  • unbekannte Anwendungen zu löschen,
  • den QNAP MalwareRemover zu installieren und
  • eine Zugangskontrolliste für das Gerät zu erstellen (Control panel -> Security -> Security level).