Infrastruttura che fornisce aggiornamenti per Notepad++, un editor di testo ampiamente utilizzato per Home windows, è stato compromesso per sei mesi da presunti hacker cinesi che hanno usato il loro controllo per fornire versioni backdoor dell’app a obiettivi selezionati, hanno detto lunedì gli sviluppatori.
“Mi scuso profondamente con tutti gli utenti colpiti da questo dirottamento”, l’autore di a inviare pubblicato al funzionario notepad-plus-plus.org sito ha scritto lunedì. Il submit afferma che l’attacco è iniziato lo scorso giugno con una “compromissione a livello di infrastruttura che ha consentito advert autori malintenzionati di intercettare e reindirizzare il traffico di aggiornamenti destinato a notepad-plus-plus.org”. Gli aggressori, che diversi investigatori hanno collegato al governo cinese, hanno poi reindirizzato selettivamente alcuni utenti presi di mira verso server di aggiornamento dannosi dove hanno ricevuto aggiornamenti backdoor. Notepad++ non ha ripreso il controllo della propria infrastruttura fino a dicembre.
Gli aggressori hanno utilizzato il loro accesso per installare un file carico utile mai visto prima che è stato soprannominato Chrysalis. La società di sicurezza Speedy 7 l’ha descritta come una “backdoor personalizzata e ricca di funzionalità”.
“La sua vasta gamma di funzionalità indica che si tratta di uno strumento sofisticato e permanente, non di una semplice utility usa e getta”, hanno affermato i ricercatori dell’azienda.
Hacking pratico della tastiera
Notepad++ ha affermato che i funzionari del supplier senza nome che ospita l’infrastruttura di aggiornamento si sono consultati con gli addetti agli interventi di risposta agli incidenti e hanno scoperto che period rimasta compromessa fino al 2 settembre. Anche allora, gli aggressori hanno mantenuto le credenziali per i servizi interni fino al 2 dicembre, una capacità che ha permesso loro di continuare a reindirizzare il traffico di aggiornamento selezionato verso server dannosi. L’autore della minaccia “ha preso di mira specificamente il dominio Notepad++ con l’obiettivo di sfruttare i controlli di verifica degli aggiornamenti insufficienti esistenti nelle versioni precedenti di Notepad++.” I registri degli eventi indicano che gli hacker hanno tentato di sfruttare nuovamente uno dei punti deboli dopo che è stato risolto, ma il tentativo è fallito.
Secondo il ricercatore indipendente Kevin Beaumont, tre organizzazioni glielo disse che i dispositivi all’interno delle loro reti su cui period installato Notepad++ hanno subito “incidenti di sicurezza” che “hanno provocato attacchi pratici da tastiera”, il che significa che gli hacker sono stati in grado di assumere il controllo diretto utilizzando un’interfaccia basata sul internet. Tutte e tre le organizzazioni, ha detto Beaumont, hanno interessi nell’Asia orientale.
Il ricercatore ha spiegato che i suoi sospetti sono stati destati quando Notepad++ versione 8.8.8 ha introdotto correzioni di bug a metà novembre per “impedire che l’aggiornamento di Notepad++ venga dirottato per fornire qualcosa… non Notepad++.”
L’aggiornamento ha apportato modifiche a un programma di aggiornamento Notepad++ personalizzato noto come GUP o, in alternativa, WinGUP. L’eseguibile gup.exe responsabile segnala la versione in uso e quindi recupera un URL per l’aggiornamento da un file denominato gup.xml. Il file specificato nell’URL viene scaricato nella listing %TEMP% del dispositivo e quindi eseguito.
Beaumont ha scritto:
Se riesci a intercettare e modificare questo traffico, puoi reindirizzare il obtain in qualsiasi posizione appaia modificando l’URL nella proprietà.
Si suppone che questo traffico avvenga su HTTPS, comunque sembri che tu sia [able] per manomettere il traffico se ti siedi a livello ISP e intercetta TLS. Nelle versioni precedenti di Notepad++, il traffico period appena su HTTP.
I obtain stessi sono firmati, tuttavia alcune versioni precedenti di Notepad++ utilizzavano un certificato root autofirmato, che si trova su Github. Con la versione precedente 8.8.7, questo è stato ripristinato a GlobalSign. In effetti, c’è una situazione in cui il obtain non viene controllato in modo approfondito per eventuali manomissioni.
Poiché il traffico verso notepad-plus-plus.org è piuttosto raro, potrebbe essere possibile posizionarsi all’interno della catena dell’ISP e reindirizzare a un obtain diverso. Per fare questo su qualsiasi tipo di scala sono necessarie molte risorse.
Beaumont ha pubblicato la sua teoria operativa a dicembre, due mesi esatti prima dell’avviso di lunedì di Notepad++. Combinato con i dettagli di Notepad++, ora è chiaro che l’ipotesi period esatta.
Beaumont ha anche avvertito che i motori di ricerca sono così “pieni” di pubblicità che spingono versioni trojanizzate di Notepad++ che molti utenti le eseguono involontariamente all’interno delle loro reti. Un’ondata di estensioni dannose di Notepad++ non fa altro che aumentare il rischio.
