Malware "QSnatch" attackiert QNAP-Netzwerkspeicher – auch in Deutschland

Das Cyber Emergency Response Team (CERT) der finnischen Transport and Communications Agency (NCSC-FI) hat vergangene Woche eine Malware entdeckt, die Netzwerkspeicher (Network Attached Storages, NAS) des Herstellers QNAP befällt.

Der auf den Namen "QSnatch" getaufte Schädling nistet sich laut NCSC-FI dauerhaft auf Geräten ein, indem er deren Firmware modifiziert und künftige Hersteller-Updates verhindert. Weiterhin stiehlt er die Zugangsdaten der NAS, kommuniziert in regelmäßigen Abständen mit einem entfernten Command-and-Control-Server und ist theoretisch in der Lage, weitere Schadfunktionen als Module nachzuladen. Über den initialen Angriffsvektor ist bislang nichts bekannt.

Neben dem NCSC-FI warnt auch das CERT des BSI (CERT-Bund) vor QSnatch. In einem Tweet lässt es verlauten, dass derzeit etwa 7000 Geräte in Deutschland betroffen seien.

Firmware-Update als Schutz vor QSnatch?

CERT-Bund schreibt, dass nach aktuellen Erkenntnissen Geräte betroffen seien, die (über eine Port-Weiterleitung) aus dem Internet erreichbar seien und auf denen eine veraltete Firmware-Version laufe. Ähnlich äußert sich auch das finnische CERT in seiner detaillierten QSnatch-Analyse.

Die beste Schutzmaßnahme gegen QSnatch dürfte somit sein, NAS gar nicht erst über das Internet erreichbar zu machen.

Gegen bestehende Infektionen hilft laut NCSC-FI das komplette Zurücksetzen der NAS auf Werkseinstellungen (Factory Reset). Auch ein Update des QNAP-Betriebssystems/Firmware QTS ist in jedem Fall ratsam – ob es allerdings bestehende Infektionen behebt, ist laut NCSC-FI bislang unklar: "NCSC-FI has not been able to confirm whether the update actually removes the malware, and this is also acknowledged by the manufacturer", heißt es in der Analyse. Ebenso wenig geht aus der Veröffentlichung des NCSC-FI hervor, ob das Update helfen kann, Infektionen von vornherein zu verhindern.

Einem Security Advisory von QNAP, das allerdings schon von Februar dieses Jahres stammt und sehr allgemein auf Malwarebefall unter QTS abzielt, können NAS-Besitzer Angaben zu den aktuellen QTS-Versionen sowie eine Installationsanleitung entnehmen.

Zusatzmaßnahmen nach der Infektion

Im Anschluss an die Bereinigung eines Gerätes rät das finnische Forscherteam dazu,

• die Passwörter aller Accounts des NAS zu ändern,
• unbekannte Nutzeraccounts zu entfernen
• neben der Firmware auch alle Anwendungen zu aktualisieren,
• unbekannte Anwendungen zu löschen,
• den QNAP MalwareRemover zu installieren und
• eine Zugangskontrolliste für das Gerät zu erstellen (Control panel -> Security -> Security level).

Sofern Gerätebesitzer weitere Unterstützung benötigen, können sie den QNAP-Support kontaktieren.

Update 01.11.2019, 14:20: Rechtschreib- und Logikfehler korrigiert. Danke für die Hinweise! (ovw)