Infrastructura de actualizare a Notepad++—un editor de text extrem de utilizat pentru Windows—a fost compromisă timp de șase luni de presupuși hackeri chinezi, care au folosit controlul lor pentru a livra versiuni ale aplicației cu backdoor către anumite ținte, au declarat dezvoltatorii luni.
„Îmi cer scuze profund tuturor utilizatorilor afectați de acest atac”, a scris autorul unui articol publicat pe site-ul oficial notepad-plus-plus.org luni. Postarea a precizat că atacul a început în iunie cu „un compromis la nivelul infrastructurii care a permis actorilor răuvoitori să intercepteze și să redirecționeze traficul de actualizare destinat notepad-plus-plus.org”. Atacatorii, identificați de mai mulți investigatori ca fiind legați de guvernul chinez, au redirecționat selectiv anumiți utilizatori către servere de actualizare malițioase, unde au primit actualizările compromise. Notepad++ nu și-a recâștigat controlul asupra infrastructurii sale până în decembrie.
Atacatorii au folosit accesul lor pentru a instala un payload necunoscut anterior, care a fost numit Chrysalis. Firma de securitate Rapid 7 l-a descris ca fiind un „backdoor personalizat și bogat în funcții”.
„Gama largă de capabilități indică faptul că este un instrument sofisticat și permanent, nu un simplu utilitar de unică folosință”, au spus cercetătorii companiei.
Notepad++ a menționat că oficialii furnizorului necunoscut care găzduiește infrastructura de actualizare au consultat experți în răspuns la incidente și au descoperit că a rămas compromisă până la 2 septembrie. Chiar și atunci, atacatorii și-au păstrat acreditările pentru serviciile interne până la 2 decembrie, o capacitate care le-a permis să continue redirecționarea traficului de actualizare selectat către servere malițioase. Actorul amenințării „a vizat în mod specific domeniul Notepad++ cu scopul de a exploata controalele insuficiente de verificare a actualizărilor care existau în versiunile mai vechi ale Notepad++”. Jurnalele de evenimente indică faptul că hackerii au încercat să reexploateze una dintre vulnerabilități după ce a fost reparată, dar încercarea a eșuat.
Potrivit cercetătorului independent Kevin Beaumont, trei organizații i-au spus că dispozitivele din rețelele lor care aveau instalat Notepad++ au experimentat „incidente de securitate” care „au rezultat în actori de amenințare cu mâini pe tastatură”, adică hackerii au reușit să preia controlul direct folosind o interfață bazată pe web. Toate cele trei organizații, a spus Beaumont, au interese în Asia de Est.
Cercetătorul a explicat că suspiciunile sale au fost stârnite când versiunea 8.8.8 a Notepad++ a introdus corecții de erori la mijlocul lunii noiembrie pentru a „consolida Updater-ul Notepad++ împotriva hijacking-ului pentru a livra ceva… care nu este Notepad++.”
Actualizarea a adus modificări unui updater specific Notepad++, cunoscut sub numele de GUP sau, alternativ, WinGUP. Fișierul executabil gup.exe responsabil raportează versiunea utilizată la https://notepad-plus-plus.org/update/getDownloadUrl.php și apoi preia un URL pentru actualizare dintr-un fișier numit gup.xml. Fișierul specificat în URL este descărcat în directorul %TEMP% al dispozitivului și apoi executat.
Sursa: Ars Tehnica Technology
Poll: Care este principala preocupare a utilizatorilor Notepad++ în urma compromiterii infrastructurii de actualizare?
Revista “Ştiinţă şi Tehnică“, cea mai cunoscută şi longevivă publicaţie de popularizare a ştiintelor din România
Leave a Reply