夜神模擬器是款國內外均小有名氣的安卓模擬器產品,該產品可以讓我們在桌面平臺運行安卓虛擬機跑安卓應用。
日前斯洛伐克安全軟體開發商 ESET 發現有黑客攻陷夜神模擬器,攻擊目的則是利用夜神模擬器發起針對性攻擊。
調查顯示黑客成功拿下夜神模擬器用於更新的接口和文件託管伺服器,然後將惡意文件推送給用戶以感染目標等。
從攻擊情況來看夜神模擬器存在缺陷充當攻擊媒介,這是非常典型的供應鏈攻擊,與最近太陽風供應鏈攻擊類似。
夜神模擬器存在的安全缺陷:
此次夜神模擬器遭遇的攻擊源於其存在的安全缺陷,但這種錯誤非常低級因為以前已經發生過多次類似攻擊案例。
該模擬器在啟動時會向特定的接口發送請求檢查是否有更新,如果有更新則會聯繫文件託管伺服器下載安裝文件。
但是其並未使用HTTPS加密連接因此容易遭到中間人攻擊,黑客只需要劫持其接口使用的域名即可篡改更新內容。
另外黑客也拿下夜神模擬器的文件託管伺服器,調查顯示黑客至少從2020年9月就可以訪問夜神的文件託管服務。
極具針對性的供應鏈攻擊:
值得注意的是此次攻擊黑客並沒有利用夜神模擬器進行大量感染,也沒有利用被感染的設備進行挖礦等經濟操作。
安全公司進行初步調查發現儘管黑客早已拿下夜神模擬器,但整個ESET用戶群裡僅僅只有5名用戶遭到黑客攻擊。
顯然攻擊者是為了進行監控竊取信息而不是單純的為錢,調查還發現黑客使用三個不同的惡意軟體家族完成監視。
這些惡意軟體有的負責在剛開始的時候進行監視,有的負責收集信息,而且在公司內網裡也僅感染特定目標用戶。
夜神先否認隨後承認被黑:
安全公司最初將信息通報給夜神模擬器後該公司否認被攻擊,但在隨後又表示確認問題,先前否認被黑是個誤會。
目前夜神模擬器已經對基礎設施進行排查和更新,並對潛在的安全缺陷進行修復,夜神採取的主要修復措施包括:
採用加密安全連接檢查信息和獲取更新以降低中間人劫持風險、採用哈希和文件籤名校驗下載的文件是否被篡改。
同時還採取其他措施特別是對敏感數據進行加密確保個人信息不被暴露,但該公司截止至本文發布時,未發布公告向用戶公開此事。