Infrastructuur die updates levert for Notepad++ – een veelgebruikte teksteditor voor Windows – werd zes maanden lang gecompromitteerd door vermoedelijke hackers uit de Chinese staat die hun controle gebruikten om achterdeurversies van de app aan geselecteerde doelen te leveren, zeiden ontwikkelaars maandag.
“Ik bied mijn diepe excuses aan aan alle gebruikers die door deze kaping zijn getroffen”, aldus de auteur van een na gepubliceerd aan de ambtenaar kladblok-plus-plus.org site schreef maandag. De post zei dat de aanval afgelopen juni begon met een “compromis op infrastructuurniveau waardoor kwaadwillende actoren updateverkeer dat bestemd was voor notepad-plus-plus.org konden onderscheppen en omleiden.” De aanvallers, die door meerdere onderzoekers aan de Chinese overheid waren gekoppeld, stuurden vervolgens selectief bepaalde doelgerichte gebruikers door naar kwaadaardige updateservers waar ze backdoored-updates ontvingen. Notepad++ kreeg pas in december de controle over zijn infrastructuur terug.
De aanvallers gebruikten hun toegang om een nooit eerder geziene lading dat Chrysalis wordt genoemd. Beveiligingsbedrijf Rapid 7 omschreef het als een ‘op maat gemaakte achterdeur met veel functies’.
“Het brede scala aan mogelijkheden geeft aan dat het een geavanceerd en permanent hulpmiddel is, en geen eenvoudig wegwerphulpmiddel”, aldus bedrijfsonderzoekers.
Praktisch toetsenbordhacken
Notepad++ zei dat functionarissen van de naamloze provider die de update-infrastructuur host, overleg hadden gepleegd met incidentresponders en ontdekten dat deze tot 2 september gecompromitteerd bleef. Zelfs toen behielden de aanvallers tot 2 december de inloggegevens van de interne diensten, een mogelijkheid waarmee ze geselecteerd updateverkeer konden blijven omleiden naar kwaadaardige servers. De bedreigingsacteur “richtte zich specifiek op het Notepad++-domein met als doel het misbruiken van onvoldoende controles voor updateverificatie die bestonden in oudere versies van Notepad++.” Gebeurtenislogboeken geven aan dat de hackers probeerden een van de zwakke punten opnieuw te misbruiken nadat deze was verholpen, maar dat deze poging mislukte.
Volgens onafhankelijk onderzoeker Kevin Beaumont zijn het drie organisaties vertelde het hem dat apparaten binnen hun netwerken waarop Notepad++ was geïnstalleerd, ‘beveiligingsincidenten’ ondervonden die ‘resuleerden in praktische toetsenbordbedreigingen’, wat betekent dat de hackers directe controle konden overnemen met behulp van een webgebaseerde interface. Volgens Beaumont hebben alle drie de organisaties belangen in Oost-Azië.
De onderzoeker legde uit dat zijn vermoedens waren gewekt toen Notepad++ versie 8.8.8 medio november bugfixes introduceerde om “te voorkomen dat de Notepad++ Updater werd gekaapt om iets te leveren … niet Notepad++.”
De update bracht wijzigingen aan in een op maat gemaakte Notepad++-updater, bekend als GUP, of als alternatief WinGUP. De verantwoordelijke voor het uitvoerbare bestand gup.exe rapporteert de gebruikte versie aan https://notepad-plus-plus.org/update/getDownloadUrl.php en haalt vervolgens een URL voor de update op uit een bestand met de naam gup.xml. Het in de URL gespecificeerde bestand wordt gedownload naar de map %TEMP% van het apparaat en vervolgens uitgevoerd.
Beaumont schreef:
Als u dit verkeer kunt onderscheppen en wijzigen, kunt u de download omleiden naar elke locatie waar deze verschijnt door de URL in de property te wijzigen.
Dit verkeer zou via HTTPS moeten gaan, maar het lijkt erop dat u met het verkeer kunt (kunnen) knoeien als u op ISP-niveau zit en TLS onderschept. In eerdere versies van Notepad++ ging het verkeer net over HTTP.
De downloads zelf zijn ondertekend, maar sommige eerdere versies van Notepad++ gebruikten een zelfondertekend rootcertificaat, dat zich op Github bevindt. Met 8.8.7, de vorige release, werd dit teruggezet naar GlobalSign. Er is feitelijk een situatie waarin de download niet robuust wordt gecontroleerd op manipulatie.
Omdat verkeer naar notepad-plus-plus.org vrij zeldzaam is, kan het mogelijk zijn om binnen de ISP-keten te blijven en om te leiden naar een andere download. Om dit op welke schaal dan ook te doen, zijn veel middelen nodig.
Beaumont publiceerde zijn werktheorie in december, twee maanden tot de dag voorafgaand aan het advies van maandag door Notepad++. Gecombineerd met de details uit Notepad++ is het nu duidelijk dat de hypothese klopte.
Beaumont waarschuwde ook dat zoekmachines zo “vol” zitten met advertenties die getrojaniseerde versies van Notepad++ pushen, dat veel gebruikers deze onbewust binnen hun netwerken laten draaien. Een overvloed aan kwaadaardige Notepad++-extensies vergroot het risico alleen maar.
