Cibercriminosos não identificados atacaram e comprometeram a infraestrutura de servidores do NoxPlayer - um aplicativo emulador de Android para Windows e Macbook, desenvolvido pela BigNox -, e com isso, enviaram malwares para cinco vítimas específicas na Ásia. Um ataque direcionado à cadeia de suprimentos, sem responsáveis identificados, informa a ESET.
- Chineses podem ter explorado falha no mesmo software do ataque à cadeia de suprimentos da SolarWinds
- “Um dos ataque mais sofisticados da década”, revela FireEye sobre ataque à SolarWinds
- A Ticketmaster invadiu os sistemas de marca rival e agora vai pagar US$ 10 mi por isso
No final de janeiro deste ano, pesquisadores da ESET (empresa eslovaca de segurança da informação) identificaram que um servidor de API, o “api.bignox.com”, assim como um servidor de banco de dados, o “res06.bignox.com”, pertencentes à BigNox, foram comprometidos em setembro de 2020.
A BigNox é uma desenvolvedora de software com sede em Hong Kong. Segundo a própria empresa, o emulador NoxPlayer, seu principal produto até o momento, conta com mais de 150 milhões de usuários ao redor do mundo, majoritariamente asiáticos.
O ataque
Como explica a ESET, com acesso aos servidores (API e banco de dados), os cibercriminosos adulteraram o endereço de uma atualização do NoxPlayer, substituindo-a por uma atualização infectada com pelo menos 3 tipos de malwares, feitos sob medida para atingir determinados usuários.
Este ataque é muito semelhante ao ataque à cadeia de suprimentos da SolarWinds, que começou no final de dezembro de 2020, que não tinha objetivos de danificar dados, mas sim, de espionar os usuários da solução comprometida.
“Três famílias de malware diferentes foram localizadas sendo distribuídas a partir de atualizações maliciosas personalizadas para vítimas selecionadas, sem nenhum sinal de alavancagem de qualquer ganho financeiro, mas sim recursos relacionados à vigilância”, escreve Ignacio Sanmillan, pesquisador de malware na ESET.
Embora a empresa possua mais de 150 milhões de usuários no mundo todo. Os cibercriminosos, não tinham interesse em vigiar todos os usuários dessa ferramenta. O ataque foi direcionado a apenas cinco asiáticos, divididos entre os países, Taiwan, Hong Kong e Sri Lanka.
“Em comparação com o número geral de usuários ativos do NoxPlayer, há um número muito pequeno de vítimas. De acordo com a telemetria da ESET, mais de 100.000 de usuários têm NoxPlayer instalado em suas máquinas. Entre eles, apenas 5 usuários receberam uma atualização maliciosa, mostrando que a Operação NightScout é uma operação altamente direcionada”, escreve o pesquisador Sanmillan.
A ESET informa que entrou em contato com a BigNox para oferecer soluções de segurança e investigação interna, mas a empresa negou ter sido atacada. “Entramos em contato com o BigNox sobre a intrusão e eles negaram ter sido afetados. Também oferecemos nosso apoio para ajudá-los a superar a divulgação, caso decidam conduzir uma investigação interna”, diz Sanmillan.
Este é o terceiro ataque à cadeia de suprimentos descobertos pela ESET desde dezembro de 2020. O primeiro envolve o software Able, de gestão de recursos humanos, utilizado pelo governo da Mangólia. O segundo envolve um software de emissão de certificações oficiais, utilizado pelo governo do Vietnam.
“Detectamos vários ataques à cadeia de suprimentos no ano passado [... O ataque que envolve o NoxPlayer] é particularmente interessante devido à vertical direcionada, visto que raramente encontramos muitas operações de espionagem cibernética visando jogadores online [...] Os ataques à cadeia de suprimentos continuarão a ser um vetor de compromisso comum, alavancado por grupos de espionagem cibernética, e sua complexidade pode impactar a descoberta e mitigação desse tipo de incidente”, conclui o pesquisador.
Fonte: Welivesecurity (ESET).