Infraestrutura entregando atualizações para o Notepad++ – um editor de texto amplamente usado para Windows – foi comprometido por seis meses por supostos hackers do estado da China que usaram seu controle para fornecer versões backdoor do aplicativo para alvos selecionados, disseram desenvolvedores na segunda-feira.
“Peço desculpas profundamente a todos os usuários afetados por este sequestro”, disse o autor de um publicar publicado para o oficial notepad-plus-plus.org site escreveu segunda-feira. A postagem dizia que o ataque começou em junho passado com um “comprometimento no nível da infraestrutura que permitiu que atores mal-intencionados interceptassem e redirecionassem o tráfego de atualização destinado ao notepad-plus-plus.org”. Os invasores, que vários investigadores vincularam ao governo chinês, redirecionaram seletivamente certos usuários-alvo para servidores de atualização maliciosos, onde receberam atualizações backdoor. O Notepad++ não recuperou o controle de sua infraestrutura até dezembro.
Os invasores usaram seu acesso para instalar um carga nunca antes vista que foi apelidado de Crisálida. A empresa de segurança Rapid 7 o descreveu como um “backdoor personalizado e rico em recursos”.
“Sua ampla gama de capacidades indica que é uma ferramenta sofisticada e permanente, e não um simples utilitário descartável”, disseram os pesquisadores da empresa.
Hackeamento prático de teclado
O Notepad++ disse que os funcionários do provedor não identificado que hospeda a infraestrutura de atualização consultaram as equipes de resposta a incidentes e descobriram que ela permaneceu comprometida até 2 de setembro. Mesmo assim, os invasores mantiveram credenciais para os serviços internos até 2 de dezembro, um recurso que lhes permitiu continuar redirecionando o tráfego de atualização selecionado para servidores maliciosos. O ator da ameaça “visou especificamente o domínio do Notepad++ com o objetivo de explorar controles insuficientes de verificação de atualização que existiam em versões mais antigas do Notepad++”. Os logs de eventos indicam que os hackers tentaram explorar novamente um dos pontos fracos depois que ele foi corrigido, mas a tentativa falhou.
De acordo com o pesquisador independente Kevin Beaumont, três organizações disse a ele que os dispositivos dentro de suas redes que tinham o Notepad ++ instalado sofreram “incidentes de segurança” que “resultaram em agentes de ameaças de teclado”, o que significa que os hackers foram capazes de assumir o controle direto usando uma interface baseada na web. Todas as três organizações, disse Beaumont, têm interesses no Leste Asiático.
O pesquisador explicou que suas suspeitas foram despertadas quando o Notepad++ versão 8.8.8 introduziu correções de bugs em meados de novembro para “proteger o Notepad++ Updater de ser sequestrado para entregar algo… não o Notepad++”.
A atualização fez alterações em um atualizador personalizado do Notepad++ conhecido como GUP ou, alternativamente, WinGUP. O executável gup.exe responsável relata a versão em uso para https://notepad-plus-plus.org/update/getDownloadUrl.php e então recupera uma URL para a atualização de um arquivo chamado gup.xml. O arquivo especificado na URL é baixado no diretório %TEMP% do dispositivo e então executado.
Beaumont escreveu:
Se você puder interceptar e alterar esse tráfego, poderá redirecionar o download para qualquer local que ele aparecer, alterando o URL na propriedade.
Esse tráfego deve ser feito por HTTPS, no entanto, parece que você pode (capaz) de adulterar o tráfego se estiver no nível do ISP e interceptar o TLS. Nas versões anteriores do Notepad++, o tráfego era apenas via HTTP.
Os downloads em si são assinados – no entanto, algumas versões anteriores do Notepad++ usavam um certificado raiz autoassinado, que está no Github. Com 8.8.7, a versão anterior, isso foi revertido para GlobalSign. Efetivamente, há uma situação em que o download não é verificado de forma robusta quanto a adulterações.
Como o tráfego para notepad-plus-plus.org é bastante raro, pode ser possível ficar dentro da cadeia do ISP e redirecionar para um download diferente. Fazer isso em qualquer escala requer muitos recursos.
Beaumont publicou sua teoria de trabalho em dezembro, dois meses antes do comunicado de segunda-feira do Notepad++. Combinado com os detalhes do Notepad++, agora está claro que a hipótese estava correta.
Beaumont também alertou que os mecanismos de busca estão tão “cheios” de anúncios que promovem versões trojanizadas do Notepad++ que muitos usuários os executam involuntariamente dentro de suas redes. Uma onda de extensões maliciosas do Notepad++ só aumenta o risco.
