群暉科技Synology近日接獲數起使用者詢問,觀察到有異常數量IP企圖嘗試登入NAS產品,經產品安全團隊調查,確認為駭客使用暴力密碼破解手法,而非利用特定系統安全性弱點。Synology也呼籲使用者毋須恐慌,同時建議使用者持續加強帳號權限與密碼設定,以阻斷駭客入侵的可能。
經Synology產品安全團隊分析攻擊樣本,這次事件為知名惡意程式StealthWorker的攻擊,該駭客組織利用暴力密碼破解手法登入受害裝置,植入惡意程式後進行資料加密勒索,再利用受害裝置進一步探索並攻擊更多弱密碼裝置,可能被攻擊的對象包括一般Linux主機及市面上各廠牌NAS。
目前Synology已與國內外相關資安CERT單位展開協作,透過TWCERT/CC對國外通報惡意程式的C&C Server(Command and Control Server)的IP,並請相關單位將其關機,以儘快結束此次攻擊事件。
「Synology將確保您的系統與資料安全視為首要之務,我們不僅成立專責產品安全團隊(PSIRT),也透過與相關資安單位協作,確實管理並快速回應資安事件。」Synology安全事件應變組經理林涵恩表示,「資安攻擊手法日新月異,我們也呼籲所有Synology使用者透過DiskStationManager(DSM)內建的各項帳號與密碼管理設定,持續加強NAS的安全性,以防範惡意攻擊。」
Synology建議使用者採取以下行動來加強NAS系統安全性:
- 於控制台>使用者帳號新增一組具管理員權限的帳號,並停用系統預設的「admin」帳號
- 加強所有帳號密碼的複雜性,並啟用多步驟驗證(如OTP一次性密碼)或是SecureSignIn為帳號提供多一道安全防護
此外,若您擔心設備因使用弱密碼而已遭到攻擊,可以透過下列方式進行檢查:
- 登入DSM,至控制台>任務排程表檢查是否被建立異常的程式碼。您也可以透過日誌中心搜尋「ScheduledTask」。
- 檢查FileStation是否有檔案被加密(副檔名可能已被修改)。
- 如有上述提及的任何狀況,請備份您的資料並重新安裝最新正式版本DSM來確保系統完全乾淨。
若有其他不確定性的異狀,建議直接聯絡Synology原廠獲取技術支援:
- 請至DSM中的技術與支援中心>支援服務>勾選啟用遠端存取,並提供技術支援識別碼與暫時的DSM帳號密碼。
本文轉載自TWCERT/CC。