夜神模拟器遭遇黑客攻击文件服务器被黑 黑客利用其缺陷发起供应链攻击
夜神模拟器是款国内外均小有名气的安卓模拟器产品,该产品可以让我们在桌面平台运行安卓虚拟机跑安卓应用。
日前斯洛伐克安全软件开发商 ESET 发现有黑客攻陷夜神模拟器,攻击目的则是利用夜神模拟器发起针对性攻击。
调查显示黑客成功拿下夜神模拟器用于更新的接口和文件托管服务器,然后将恶意文件推送给用户以感染目标等。
从攻击情况来看夜神模拟器存在缺陷充当攻击媒介,这是非常典型的供应链攻击,与最近太阳风供应链攻击类似。
此次夜神模拟器遭遇的攻击源于其存在的安全缺陷,但这种错误非常低级因为以前已经发生过多次类似攻击案例。
该模拟器在启动时会向特定的接口发送请求检查是否有更新,如果有更新则会联系文件托管服务器下载安装文件。
但是其并未使用HTTPS加密连接因此容易遭到中间人攻击 , 黑客只需要劫持其接口使用的域名即可篡改更新内容。
另外黑客也拿下夜神模拟器的文件托管服务器 , 调查显示黑客至少从2020年9月就可以访问夜神的文件托管服务。
值得注意的是此次攻击黑客并没有利用夜神模拟器进行大量感染,也没有利用被感染的设备进行挖矿等经济操作。
安全公司进行初步调查发现尽管黑客早已拿下夜神模拟器, 但整个ESET用户群里仅仅只有5名用户遭到黑客攻击。
显然攻击者是为了进行监控窃取信息而不是单纯的为钱,调查还发现黑客使用三个不同的恶意软件家族完成监视。
这些恶意软件有的负责在刚开始的时候进行监视,有的负责收集信息,而且在公司内网里也仅感染特定目标用户。
安全公司最初将信息通报给夜神模拟器后该公司否认被攻击,但在随后又表示确认问题,先前否认被黑是个误会。
目前夜神模拟器已经对基础设施进行排查和更新,并对潜在的安全缺陷进行修复,夜神采取的主要修复措施包括:
采用加密安全连接检查信息和获取更新以降低中间人劫持风险、采用哈希和文件签名校验下载的文件是否被篡改。
同时还采取其他措施特别是对敏感数据进行加密确保个人信息不被暴露,但该公司并未发布公告向用户公开此事。