Infrastructuur zorgt voor updates for Notepad++ – een veelgebruikte teksteditor voor Windows – is al zes maanden gecompromitteerd door vermoedelijke Chinese staatshackers die hun besturingselementen gebruikten om een achterdeurversie van de applicatie af te leveren om doelen te selecteren, zei de ontwikkelaar maandag.
“Ik bied mijn diepe excuses aan aan alle gebruikers die door deze piraterij zijn getroffen”, schreef auteur A na gepubliceerd aan de ambtenaar kladblok-plus-plus.org site schreef maandag. De post zei dat de aanval afgelopen juni begon met “een compromis op infrastructuurniveau waardoor kwaadwillende actoren updateverkeer dat bestemd was voor notepad-plus-plus.org konden onderscheppen en omleiden.” De aanvallers, die door veel onderzoekers in verband zijn gebracht met de Chinese overheid, hebben vervolgens bepaalde gebruikers selectief doorgestuurd naar kwaadaardige updateservers waar ze backdoor-updates ontvingen. Notepad++ kreeg pas in december de controle over zijn infrastructuur terug.
De aanvallers gebruikten hun toegang om een nooit eerder geziene lading bijgenaamd Chrysalis. Beveiligingsbedrijf Rapid 7 beschrijft het als een ‘op maat gemaakte achterdeur met veel functies’.
“Het brede scala aan mogelijkheden suggereert dat dit een geavanceerd en permanent apparaat is, en geen wegwerpapparaat”, aldus bedrijfsonderzoekers.
Live toetsenbordhack
Notepad++ zei dat functionarissen van de naamloze provider die de update-infrastructuur host, overleg hadden gepleegd met incidentresponders en ontdekten dat de infrastructuur vanaf 2 september nog steeds gecompromitteerd was. Toch behielden de aanvallers tot 2 december de inloggegevens van interne diensten, een mogelijkheid waarmee ze geselecteerd updateverkeer naar kwaadaardige servers konden blijven leiden. De bedreigingsacteur “richtte zich specifiek op het Notepad++-domein met als doel het misbruiken van onvoldoende updateverificatiecontroles die aanwezig waren in oudere versies van Notepad++.” Uit het gebeurtenislogboek blijkt dat de hacker heeft geprobeerd een van de fouten opnieuw te misbruiken nadat deze was verholpen, maar dat deze poging mislukte.
Volgens onafhankelijk onderzoeker Kevin Beaumont zijn er drie organisaties vertelde het hem dat apparaten binnen hun netwerk waarop Notepad++ was geïnstalleerd een ‘beveiligingsincident’ ondervonden dat ‘resulteerde in toetsenbordbedreigingen’, wat betekende dat de hackers directe controle konden overnemen met behulp van de webgebaseerde interface. Deze drie organisaties, zei Beaumont, hebben belangen in Oost-Azië.
De onderzoeker legt uit dat zijn vermoedens werden geuit toen Notepad++ versie 8.8.8 medio november een bugfix introduceerde om “Notepad++ Updater te verharden, zodat het niet wordt gekaapt om iets af te leveren… niet Notepad++.”
Deze update brengt wijzigingen aan in een aangepaste Notepad++-updater, bekend als GUP, of als alternatief WinGUP. Het verantwoordelijke uitvoerbare bestand gup.exe rapporteert de gebruikte versie naar https://notepad-plus-plus.org/update/getDownloadUrl.php en haalt vervolgens de URL voor de update op uit een bestand met de naam gup.xml. Het in de URL gespecificeerde bestand wordt gedownload naar de map %TEMP% van het apparaat en vervolgens uitgevoerd.
Beaumont schreef:
Als u dit verkeer kunt onderscheppen en wijzigen, kunt u de download omleiden naar elke locatie die verschijnt door de URL in de eigenschappen te wijzigen.
Dit verkeer zou via HTTPS moeten gaan, maar het lijkt erop dat u het verkeer kunt (kunt) wijzigen als u op ISP-niveau zit en TLS-onderschepping. In eerdere versies van Notepad++ verliep het verkeer alleen via HTTP.
De download zelf is ondertekend, maar sommige eerdere versies van Notepad++ gebruikten een zelfondertekend rootcertificaat, dat zich op Github bevindt. Met 8.8.7, de vorige release, keerde dit terug naar GlobalSign. Er zijn zelfs situaties waarin downloads niet strikt worden gecontroleerd op manipulatie.
Omdat het verkeer naar notepad-plus-plus.org vrij schaars is, is het mogelijk dat het in de ISP-keten zit en omleidt naar een andere download. Om dit op welke schaal dan ook te doen, zijn veel middelen nodig.
Beaumont publiceerde zijn werktheorie in december, twee maanden vóór het advies van maandag door Notepad++. Gecombineerd met details uit Notepad++ is het nu duidelijk dat de hypothese klopt.
Beaumont waarschuwde ook dat de zoekmachine “besmet” was met advertenties die getrojaniseerde versies van Notepad++ pushten die veel gebruikers onbewust op hun netwerken draaiden. De vele kwaadaardige Notepad++-extensies vergroten het risico alleen maar.
