Korzystałeś z Notepad++? Sprawdź, czy nie masz niechcianych gości w swoim komputerze

Chińscy hakerzy przejęli kontrolę nad infrastrukturą sieciową wykorzystywaną przez twórców Notepad++ do dystrybucji aktualizacji ich dzieła. Sam Notepad++ jest bezpłatnym, otwartoźródłowym i cieszącym się sporym uznaniem edytorem tekstu dla systemów Windows. Nic dziwnego, że włamywacze, podobno posiadający powiązania z Komunistyczną Partią Chin, postanowili wykorzystać ten fakt na swoją korzyść i postanowili zamontować w programie tylną furtkę, umożliwiającą zdalny dostęp do dowolnej maszyny, na której został on zaktualizowany.

O incydencie poinformowała ekipa odpowiedzialna za Notepada++. Jak możemy przeczytać we wpisie zamieszczonym na stronie projektu, "atak obejmował naruszenie infrastruktury, co umożliwiło złośliwym podmiotom przechwycenie i przekierowanie ruchu aktualizacji przeznaczonego dla notepad-plus-plus.org". Co ważne, luka, która umożliwiła przeprowadzenie ataku, nie znajdowała się bezpośrednio w kodzie samej aplikacji, a do włamania doszło po stronie dostawcy hostingu. Mimo to dokładny mechanizm, jaki znalazł zastosowanie w tym procesie, pozostaje nieznany, a w sprawie jego identyfikacji prowadzone jest dochodzenie.

Dość istotne jest w tym wszystkim także to, że włamywaczom nie zależało na dostaniu się do peceta każdego z użytkowników Notepada++, a ich potencjalne ofiary były zawczasu poddawane selekcji. Ruch od wybranych osób był przekierowywany do złośliwych manifestów aktualizacji, za którymi stali hakerzy, a wraz z zainfekowaną dystrybucją aplikacji na komputer trafiała tylna furtka.

Dostępne informacje wskazują na to, że początki tego mało przyjemnego incydentu sięgają czerwca ubiegłego roku. Liczni niezależni badacze ds. cyberbezpieczeństwa powiązali te wydarzenia z grupą sponsorowaną przez chiński rząd, a zastosowana przez hakerów, niespotkana wcześniej tylna furtka otrzymała miano Chrysalis. Według Rapid7 Labs odpowiedzialność za atak na infrastrukturę wykorzystywaną przez Notepada++ spada na funkcjonujący od 2009 r. zespół Lotus Blossom, znany z ukierunkowanych kampanii szpiegowskich, koncentrujących się na sektorach rządowym, medialnym, telekomunikacyjnym, a nawet na infrastrukturze krytycznej.

Notepad++ zapewnił, że dziury w zabezpieczeniach, które umożliwiły wtargnięcie niechcianych gości do systemu, zostały załatane. Nie oznacza to jednak, iż użytkownicy programu są bezpieczni. Zalecono wszystkim, aby, jeśli tego nie zrobili przed dniem 2 grudnia, zmienili dane dostępu do SSH, FTP/SFTP oraz baz danych MySQL, a także zaktualizowali posiadane przez siebie strony na WordPressie, wliczając w to ich wtyczki oraz motywy. Należy także sprawdzić, czy w ich panelu nie pojawili się żadni nowi, nietypowi użytkownicy.

Więcej na temat tylnej furtki Chrysalis zastosowanej przez Lotus Blossom dowiemy się z artykułu napisanego przez Ivana Feigla z Rapid7.