Operasyon Nightscout

Siber güvenlik kuruluşu ESET, PC’ler ve Mac’ler için bir Android emülatörü olan NoxPlayer’ın güncelleme mekanizmasını tehlikeye atan yeni bir tedarik zinciri saldırısı keşfetti. NoxPlayer dünya çapında 150 milyondan fazla kullanıcısı olan BigNox şirketinin ürün yelpazesi içerisinde yer alıyor.
NightScout adı verilen operasyonda, ESET araştırmacıları özelleştirilmiş kötü amaçlı güncellemelerin seçilmiş kurbanlara dağıtıldığı üç farklı zararlı yazılım ailesi tespit etti.  Saldırıların finansal kazanç sağlamaya değil siber-casusluk amacına yönelik olduğu görüldü. 
Hong Kong menşeili bir şirket olan BigNox, PC’ler ve Mac’ler için NoxPlayer adında bir Android emülatör başta olmak üzere birçok ürün sunuyor.  Yirmi farklı dil konuşan 150‘den fazla ülkede 150 milyondan fazla kullanıcısı bulunan BigNox’un takipçi tabanı ağırlıklı olarak Asya ülkelerinde yer alıyor.

Android emülatörlerini kimler kullanıyor
Daha çok oyun meraklıları tarafından kullanılan Android emülatörleri, mobil oyunları daha iyi oynayabilmek ya da yeni uygulamaları test etmek için tercih edilen, bilgisayarlarda Android işletim sistemini taklit eden veya çalıştıran programlar olarak biliniyor.

Saldırı bilgisi BigNox şirketi ile paylaşıldı
NightScout Operasyonunu ortaya çıkaran ESET araştırmacısı Ignacio Sanmillan “ESET telemetrisine dayanarak tehlikenin ilk işaretlerini Eylül 2020’de gördük. Bu hafta zararlı aktiviteyi tam olarak ortaya çıkarana kadar aktivite hızla devam etti. Bu noktada olayı BigNox’a bildirdik” dedi.

Saldırılar hedefli ve istihbarat toplamaya yönelik
NightScout Operasyonu‘nda ESET araştırmacıları beş adet kurban tespit etti. Aktif NoxPlayer kullanıcılarının toplam sayısı ile karşılaştırıldığında, çok az sayıda kurbanın olması istihbarat toplama amacına işaret eden hedefli bir saldırı olduğunu gösteriyor. Tespit edilen bu beş hedef Tayvan, Hong Kong ve Sri Lanka’da yaşıyor. 
Bu belirli tedarik zinciri saldırısında NoxPlayer güncelleme mekanizması, tehdit vektörü olarak kullanıldı. NoxPlayer başlatıldığında yazılımın daha yeni bir sürümünü tespit ederse kullanıcıya yeni sürümü yükleme seçeneği sunduğu bir mesaj kutusu açıyor ve böylece zararlı yazılım yükleniyor.
Sanmillan “BigNox altyapısının bu zararlı yazılımı barındırdığına dair yeterli bulgumuz var ve ayrıca API altyapılarının da etkilenmiş olabileceğini düşünüyoruz. Bazı durumlarda BigNox güncelleyicisi, saldıranın kontrol ettiği sunuculardan ilave zararlı yük indirmişti” dedi.

Güvende olmak için neler yapılmalı
ESET uzmanları  zararlı yazılımdan etkilenmemiş NoxPlayer kullanıcılarının, BigNox tarafından tehdidin azaldığına ilişkin bildirim gönderilinceye kadar hiçbir güncellemeyi indirmemesi önerisini paylaştı. Yapılacak en iyi şey yazılımı kaldırmak olabilir” tavsiyesinde bulundu.