Anatomia attacco Hacker su QNAP il recupero dei Backup Veeam

In tutti gli attacchi hacker che colpiscono le grandi organizzazioni, è possibile notare che oggetto del sabotaggio informatico sono i datastore VMWARE o HYPER-V e i relativi backup VEEAM localizzati su Server QNAP.
L'associazione in un datacenter di VEEAM e QNAP è tipica in quanto i server NAS QNAP implementano anche backup immutabili.

Per questa ragione in tutti gli attacchi distribuiti su network aziendali, prima di procedere all'attacco definitivo, le organizzazioni di cypercriminali eseguono una ricognizione molto attenta sulla rete ospite identificando con cura tutte le posizioni chiave dell'azienda applicando tutte le vulnerabilità conosciute, per poi procedere alla encryption con eseguibili ransomware e alla distruzione orizzontale delle copie di backup in un unico momento.

Tipologie di Attacco su BACKUP VEEAM

Gli attacchi su QNAP che abbiamo incontrato sono di due tipi:

1. Encryption dei file condivisi nella cartella di rete 
2. Intrusione nel server QNAP e danneggiamento del Volume
3. Intrusione nel server QNAP e cancellazione sicura dei dischi fisici

Come è possibile che un server QNAP possa essere attaccato dall'esterno

Essendo molto diffusi e disponendo di molte features, i server QNAP sono oggetto di interesse da parte degli sviluppatori, e sono note moltissime CVE con severità 10.

In tutti i casi affrontati nel 2022 e 2023 gli attaccanti hanno sempre avuto la meglio sulla sicurezza implementata dai NAS QNAP riuscendo ad accedere alla console amministrativa e avere un accesso admin sul QTS.

Sabotaggio e Danneggiamento dei Backup Localizzati su QNAP

Essendo le copie di backup fondamentali per il recovery ed il ripristino dei datastore, il comportamento comune in tutti gli attacchi su VEEAM è di tipo distruttivo.
E' possibile che il volume del QNAP possa essere cancellato, danneggiato o addirittura possibile che i dischi possano essere sottoposti ad una cancellazione sicura dei settori durante l'attacco.
La "precisione" del tipo di sabotaggio del server è strettamente legata al know how dell'attaccante e dal tempo a disposizione.

In un caso "particolare" durante l'attacco il NAS di backup costituito da 30 dischi Seagate da 12TB era stato letteralmente riportato allo stato di fabbrica utilizzando metodi di cancellazione sicura integrale.

Cancellazione del Volume RAID su QNAP

Molto comune negli attacchi analizzati nei nostri centri, la cancellazione del Volume RAID e reinizializzazione del file system.
Tali operazioni sul server QNAP possono avvenire esclusivamente dopo una escalation di privilegi eseguita sul Sistema operativo QTS in quanto nessun utente puo' eseguire operazioni sul sistema senza un accesso amministrativo.

La rimozione di un volume Raid al fine di renderlo inutilizzabile non è sempre distruttiva. I metadati del RAID possono essere ricostruiti virtualmente da uno specialista, e sebbene non possa essere una operazione reversibile da parte di un utilizzatore, se i dischi non vengono ulteriormente alterati esistono possibilità di ottenere i dati integri in un processo di recovery offline.

Scenario completamente diverso se il volume venisse inizializzato e formattato. In questo caso la perdita di dati è pressoche definitiva, in quanto le partizioni EXT4 non hanno alcuna possibilità di poter essere recuperate dopo una formattazione.
In seguito ad una formattazione Ext4 infatti, tutti gli inodes che costituiscono il file system vengono azzerati, rendendo inefficace l'utilizzo di qualsiasi prodotto di data recovery.
Nei casi in cui il volume QNAP sia stato formattato, il recovery dei file potrà essere eseguito solo con modalità file carving, tipicamente inefficace sui backup veeam,  in quanto i file di backup .vbk subiscono una notevole frammentazione durante il trasferimento nella partizione di rete.Essendo gli inodes azzerati, la distribuzione dei frammenti dei file di backup risulterebbe perduta irrimediabilmente.

Il caso B.G.: Distruzione delle GPT, Cancellazione delle Partizioni di sistema, Danneggiamento dell'ARRAY e distruzione dei volumi e HEADER LVM.

Un caso di sabotaggio dei File VEEAM .VBK su QNAP affrontato recente è stato accademico in quanto l'attaccante ha applicato delle tecniche di sabotaggio molto evolute e raffinate.
Dopo l'accesso al NAS QNAP l'hacker ha danneggiato in modo selettivo la GPT di tutti i drive Western Digital installati sul QNAP sia nella copia principale, che in quella secondaria.
Prima della cancellazione dell'MBR ha provveduto ad eseguire uno zero fill di tutte le partizioni di sistema del QNAP, quelle dedicate ai file di configurazione in RAID 0 e ha danneggiato le partizioni 0xFD00 configurate in RAID 5 dove persisteva il volume LVM2.

Il danneggiamento dei metadati LVM è letale in quanto i NAS QNAP memorizzano dati su volumi complessi in cui metadati gestiscono sottovolumi e partizioni.
Una corruzione benchè minima dei metadati Thin Provisioning ad esempio è sufficiente per rendere un volume dati completamente irrecuperabile.

Caratteristiche progettuali dei server QNAP: TIER, THIN e METADATA

Il sistema operativo QTS, anche disponibile per il download con licenza GPL dispone di alcune estensioni per la creazione dei volumi logici LVM2, tra cui i Volumi TIER e THIN.
Per poter gestire volumi complessi i Server QNAP utilizzano uno slice speciale dove vengono memorizzati i puntamenti per i blocchi scritti con metodo COW ( commit on write ).
Le partizioni meta sono essenziali per il funzionamento di un volume ed una minima corruzione od incogruità può causare una perdita definitiva di dati.

Attacco e cifratura dei file VEEAM presenti sulla condivisione

Se il processo di sabotaggio dei backup avvenisse direttamente sui file, sul punto di montaggio interno ( se l'attaccante riuscisse nella escalation di priviliegi ) o dall'esterno della condivisione di rete è possibile che la perdita di dati sia definitiva, in quanto i file VEEAM hanno un formato complesso basato anche esso su indici e metadati, ed una minima corruzione del volume vbk potrebbe renderlo irrecuperabile.

Atacchi Leggendari su QNAP: QLocker e Ech0raix

I primi casi in cui venivano utilizzate le nuove vulnerabilità su Qnap sono stati Qlocker e Echr0raix, due campagne ransomware di proporzioni globali.
Questi ransomware colpivano la condivisione dati dall'interno sfruttando una nota vulnerabilità e criptavano ogni singolo file presente sulla partizione.
Se il Qlocker consentiva una decrittazione dei dati, dovuta alla scoperta di una falla del ransomware Echr0raix non lasciava scampo alla vittima.
Sono migliaia le organizzazioni che logo malgrado sono state costrette a pagare un riscatto per ottenere le chiavi di cifratura.

Metadati QNAP: E' possibile leggere un volume QNAP con un altro sistema computer ? 

QTS implementa delle soluzioni proprietarie per la gestione dei volumi interni. Unico metodo per leggere un volume dati installato su server QNAP è l'utilizzo di software professionali per Data Recovery o il posizionamento del volume su un sistema QTS.
I sistemi QTS sono disponibili al Download con licenza GPL al seguente indirizzo:

QNAP NAS GPL Download

E' possibile ricompilare con relativa semplicità sia le versioni LVM2 sia i moduli per Thin Provisioning presenti nella distribuzione opensource di QTS e tentare di installarle sulla propria distribuzione linux preferita.
Attualmente se il Sistema QNAP che intendiamo recuperare implementa elementi TIER il processo di ricompilazione risulta essere più complesso in quanto è necessario anche ricompilare il kernel e riadattarlo al proprio sistema.