Инфраструктура која испоручује ажурирања за Нотепад++ — широко коришћени уређивач текста за Виндовс — био је шест месеци компромитован од стране осумњичених хакера из Кине који су користили своју контролу да испоруче бекдоор верзије апликације одабраним циљевима, рекли су програмери у понедељак.
„Дубоко се извињавам свим корисницима погођеним овом отмицом“, аутор а пост објављено службенику нотепад-плус-плус.орг сајт је написао у понедељак. У посту се наводи да је напад почео прошлог јуна „компромисом на нивоу инфраструктуре који је омогућио злонамерним актерима да пресретну и преусмере саобраћај за ажурирање намењен нотепад-плус-плус.орг“. Нападачи, које је више истражитеља повезивало са кинеском владом, затим су селективно преусмерили одређене циљане кориснике на злонамерне сервере за ажурирање где су добијали ажурирања са скривеним вратима. Нотепад++ није повратио контролу над својом инфраструктуром све до децембра.
Нападачи су искористили свој приступ да инсталирају а никад виђена носивост која је названа Цхрисалис. Безбедносна фирма Рапид 7 описала га је као „прилагођена позадинска врата богата функцијама“.
„Његова широка лепеза могућности указује на то да је то софистициран и трајан алат, а не једноставан услужни програм за бацање“, кажу истраживачи компаније.
Практично хаковање тастатуре
Нотепад++ је рекао да су се званичници са неименованим провајдером који је хостовао инфраструктуру ажурирања консултовали са онима који су одговорили на инциденте и открили да је она остала компромитована до 2. септембра. Чак и тада, нападачи су задржали акредитиве за интерне услуге до 2. децембра, што им је омогућило да наставе да преусмеравају одабрани саобраћај ажурирања на злонамерне сервере. Актер претње је „посебно циљао Нотепад++ домен са циљем да искористи недовољне контроле за верификацију ажурирања које су постојале у старијим верзијама Нотепад++-а. Дневници догађаја показују да су хакери покушали да поново искористе једну од слабости након што је поправљена, али да покушај није успео.
Према независном истраживачу Кевину Бомонту, три организације рекао му је да су уређаји унутар њихових мрежа који су имали инсталиран Нотепад++ доживјели „сигурносне инциденте“ који су „резултирали практичним претњама на тастатури“, што значи да су хакери могли да преузму директну контролу користећи веб интерфејс. Све три организације, рекао је Бомонт, имају интересе у источној Азији.
Истраживач је објаснио да су његове сумње изазвале када је Нотепад++ верзија 8.8.8 средином новембра увела исправке грешака да би „очврснуо Нотепад++ Упдатер од отмице да би испоручио нешто… не Нотепад++“.
Ажурирање је унело промене у програм за ажурирање Нотепад++ по мери познат као ГУП, или алтернативно, ВинГУП. Одговорни извршни фајл гуп.еке пријављује верзију која се користи на хттпс://нотепад-плус-плус.орг/упдате/гетДовнлоадУрл.пхп и затим преузима УРЛ за ажурирање из датотеке под називом гуп.кмл. Датотека наведена у УРЛ-у се преузима у директоријум %ТЕМП% уређаја и затим се извршава.
Беаумонт је написао:
Ако можете да пресретнете и промените овај саобраћај, можете да преусмерите преузимање на било коју локацију која се појави променом УРЛ адресе у својству.
Овај саобраћај би требало да буде преко ХТТПС-а, али изгледа да јесте [able] да мењате саобраћај ако седите на нивоу ИСП-а и ТЛС пресреће. У ранијим верзијама Нотепад++, саобраћај је био мало изнад ХТТП-а.
Сама преузимања су потписана – међутим, неке раније верзије Нотепад++ су користиле самопотписани роот сертификат, који се налази на Гитхубу. Са 8.8.7, претходним издањем, ово је враћено на ГлобалСигн. У ствари, постоји ситуација у којој се преузимање не проверава да ли се неовлашћено мења.
Пошто је саобраћај на нотепад-плус-плус.орг прилично редак, можда ће бити могуће седети унутар ланца ИСП-а и преусмерити на друго преузимање. Да бисте то урадили у било ком обиму, потребно је много ресурса.
Беаумонт је објавио своју радну теорију у децембру, два месеца до дана пре него што је Нотепад++ у понедељак објавио савет. У комбинацији са детаљима из Нотепад++, сада је јасно да је хипотеза била тачна.
Беаумонт је такође упозорио да су претраживачи толико „пуни“ рекламама које гурају тројанизоване верзије Нотепад++-а да их многи корисници несвесно покрећу унутар својих мрежа. Осип злонамерних екстензија Нотепад++ само повећава ризик.
