Állami hackerek célozták meg a Notepad++ egyes felhasználóit
Nyolc hónapon keresztül célozhatták rosszindulatú felek a Notepad++ egyes felhasználóit kártékony frissítésekkel, főleg kelet-ázsiai telekommunikációs cégeket és pénzügyi szolgáltatókat.
Újabb részletek derültek ki a Notepad++ nyílt forráskódú szövegszerkesztőt érintő ellátásilánc-támadásról. Kevin Beaumont biztonsági kutató december elején számolt be róla, hogy a támadók a Notepad++-t használó szervezetek kisebb csoportjához próbálták meg célzottan eljuttatni a rosszindulatú szoftverfrissítéseiket, főként kelet-ázsiai telekommunikációs és pénzügyi szolgáltatókhoz, egészen tavaly júniustól kezdődően szeptember elejéig.
Az akció a Notepad++ weboldalát és frissítési szolgáltatását kiszolgáló rendszert használta ki, és lehetővé tette a rosszindulatú szereplők számára, hogy átirányítsák a notepad-plus-plus.org oldalra irányuló forgalmat saját szervereikre, rosszindulatú kódok terjesztése céljából. A tárhelyszolgáltató cég december elején végül minden belső hitelesítő adatot megújított és lezárta a támadók hozzáférését.
A Notepad++ csapata idén januárban hozta nyilvánosságra az incidenst, és kiadott egy vészhelyzeti biztonsági javítást (8.8.9), amely érvényesíti a tanúsítvány- és aláírás-ellenőrzést.
Megélhetési IT: krónikus tünet vagy új normalitás? Amikor a szerelem, a hivatás megélhetéssé szelídül, a billentyűzet pedig szerszám lesz.
A Notepad++ fejlesztője és karbantartója, Don Ho a napokban hozta nyilvánosságra a külső biztonsági szakértők bevonásával végzett vizsgálat eredményeit. A vizsgálatok alapján feltételezhető, hogy a kínai kormány által támogatott fenyegetési szereplő lehetett az elkövető, aki a tárhelyszolgáltató infrastruktúráján keresztül célozta meg az áldozatokat.
A szolgáltató nem talált bizonyítékot arra, hogy a megosztott szerveren más ügyfeleket is célba vették volna. Mivel nem tömeges malware terjesztés történt, hanem szelektív, célzott beavatkozás, nagy a valószínűsége annak, hogy állami támogatással végrehajtott kampány történt.
A támadók által szeptember előtt megszerzett hitelesítő adatok lehetővé tették számukra, hogy december 2-ig hozzáférjenek a tárhelyszolgáltató belső szolgáltatásaihoz. Szeptemberben a szerver adminisztratív karbantartása során a közvetlen hozzáférést elvesztették, de továbbra is érvényes belső hitelesítő adatokkal rendelkeztek, amelyekkel a frissítési forgalmat manipulálni tudták. A Notepad++ azóta új tárhelyszolgáltatóhoz migrált, és kliensoldalon erősítette a védelmet a hasonló esetek elkerülésének érdekében.
A Notepad++ korábbi frissítője, a WinGUp nem ellenőrizte megfelelően a letöltött frissítések digitális aláírását vagy tanúsítványát, lényegében ez tette lehetővé a rosszindulatú frissítési fájlok letöltését és futtatását. A biztonsági hiányosság tehát nem közvetlenül a fő szoftvert vagy annak forráskódját érintette, hanem a frissítési csatornát. Az eset ismét rámutat arra, hogy a modern szoftverellátási lánc gyengepontja nem feltétlenül az alkalmazás kódjában bújik meg, hanem a frissítési mechanizmusokban, harmadik féltől származó szolgáltatásokban vagy a hosting infrastruktúrákban is rejtőzhet.