Tietoturva Nyt!
Miten yksittäisestä Autoreporter-havainnosta päästään kansainvälisesti merkittävän haittaohjelman jäljille? Olemme jo kertoneet QSnatchin toiminnasta ja saastuneiden laitteiden puhdistamisesta. Nyt kerromme, kuinka sen löysimme. QSnatch on herättänyt huomiota Euroopasta Aasiaan saakka. Maailmanlaajuisesti haittaohjelmatartuntoja on havaittu ainakin 100 000.
Heti aluksi haluamme kiittää SecurityScorecardin tutkija Doina Cosovania, jonka ansiota alkuperäinen haittaohjelmahavainto oli. Ilman häntä QSnatchin löytäminen ei olisi ollut mahdollista.
Jotain mätää Autoreporterissa
Autoreporterin yksittäinen noin 200 havainnon piikki herätti huomiomme 11.10.2019. Yksittäiset havainnot vaihtuivat tasaisempaan Autoreporter-havaintovirtaan noin viikkoa myöhemmin.
Johtava asiantuntijamme Ilkka Sovanto otti haittaohjelman lähempään tarkasteluun 22.10. ja alkoi paikantaa ja analysoida näytteitä. Havainnot viittasivat Windows-haittaohjelmaan, mutta myös QNAP-tallennuslaitteisiin, jotka eivät käytä Windowsia.
Ainakin 100 000 tartuntaa
Suomesta QSnatch-havaintoja on tehty muutamia satoja. Meillä saastuneet laitteet ovat olleet lähinnä kotikäytössä mutta joukossa oli myös muutamia yrityslaitteita. Maailmanlaajuisesti tartuntoja on havaittu noin 100 000. Esimerkiksi Saksan tietoturvaviranmainen, CERT-Bund, on kertonut, että Saksasta löytyi noin 7000 QSnatch-tartuntaa.
Kyseessä on merkittävä ja kansainvälinen haittaohjelmalöydös. Tartuntojen suuri määrä viittaa automatisoituun hyökkäykseen. Hyökkääjän tavoite on edelleen epäselvä, mutta selvää on, että tartunnan saaneet tallennuslaitteet sisältävät valtavan määrän arvokasta tietoa, johon rikolliset ovat päässeet käsiksi.
Aktiivinen Tilannekeskus + toimiva kansainvälinen yhteistyö = sujuvaa siivousta
Tilanne elää vielä. Vaikka laitevalmistaja QNAP on julkaissut haittaohjelman puhdistustyökalun, QSnatch on sitkeä siivottava, siksi jatkamme sen tutkimista yhdessä kansainvälisten yhteistyöverkostojemme kanssa.
Löydöksemme on hyvä muistutus siitä, kuinka tärkeä rooli haittaohjelmahavainnoinnilla on, kun torjumme haittaohjelmatartuntoja ja pidämme huolta Suomen tietoverkkojen toimivuudesta. Tällä kertaa apuna oli myös Autoreporter. Tärkeässä roolissa ovat myös kansainväliset verkostomme, joiden avulla saamme välitettyä esimerkiksi haittaohjelmatartuntoihin liittyvää tietoa nopeasti eteenpäin. Kansainvälisellä yhteistyöllä saamme hahmoteltua tapauksesta kuin tapauksesta tarkemman tilannekuvan.
Marraskuun alussa QNAP julkaisi päivitetyn version ohjeista ja MalwareRemover-työkalusta. Lisätietoja QSnatchin toiminnasta ja saastuneen laitteen puhdistamisesta saat artikkelistamme QSnatch - QNAP NAS -laitteisiin suunnattu haittaohjelma .
QSnatch-uutisointia Saksasta Hongkongiin
- Thousands of QNAP NAS devices have been infected with the QSnatch malware (Ulkoinen linkki)
- Warning over QSnatch malware infecting QNAP NAS devices (Ulkoinen linkki)
- Stubborn Malware Targets QNAP NAS Hardware Specifically (Ulkoinen linkki)
- Malware "QSnatch" attacks QNAP network storage – also in Germany (Ulkoinen linkki)
- Kypros (Ulkoinen linkki)
- Venäjä (Ulkoinen linkki)
- Hongkong (Ulkoinen linkki)
- Saksa (Ulkoinen linkki)
Autoreporter
Torjumme haittaohjelmia yhteistyössä teleyritysten kanssa Autoreporter-järjestelmän avulla. Palvelu lähettää verkkojen ylläpitäjille automaattisesti tietoja heidän verkossaan havaituista tietoturvaa vaarantavista ilmiöistä.