Windows işletim sistemi için yaygın olarak kullanılan bir metin düzenleyici olan Notepad++, altı ay boyunca altyapı saldırılarının hedefi oldu. Şüpheli Çin devlet destekli bilgisayar korsanlarının, uygulamaların arka kapılı sürümlerini belirli kullanıcılara ulaştırmak için bu erişimi kullandığı belirtildi.
Notepad++'ın resmi web sitesinde yer alan bir açıklamaya göre, saldırı geçen Haziran ayında altyapı düzeyinde bir güvenlik açığı ile başladı. Bu açık, kötü amaçlı aktörlerin notepad-plus-plus.org adresine giden güncelleme trafiğini kesintiye uğratmasına ve yönlendirmesine olanak tanıdı. Saldırganlar, Çin hükümetiyle bağlantılı oldukları düşünülen bu kişiler, daha sonra belirli hedefli kullanıcıları kötü amaçlı güncelleme sunucularına yönlendirerek arka kapılı güncellemeler almalarını sağladı. Geliştiriciler, altyapılarının kontrolünü ele geçirene kadar Aralık ayına kadar bu durum devam etti.
Saldırganlar, erişimlerini kullanarak daha önce görülmemiş, Chrysalis adını verdikleri bir yükü sisteme yerleştirdi. Güvenlik firması Rapid 7, bu yükü "özel, özellik zengini bir arka kapı" olarak tanımladı.
Şirket araştırmacıları, "Geniş yetenek yelpazesi, bunun basit, atılabilir bir araç değil, sofistike ve kalıcı bir araç olduğunu gösteriyor" dedi.
Notepad++, güncelleme altyapısını barındıran isimsiz sağlayıcının yetkilileriyle birlikte yapılan incelemelerde, altyapının 2 Eylül'e kadar güvende olmadığı ve saldırganların 2 Aralık'a kadar iç hizmetlere erişim bilgilerini koruyabildiği tespit edildi. Bu durum, belirli güncelleme trafiğini kötü amaçlı sunuculara yönlendirmeye devam etmelerine imkan tanıdı. Tehdit aktörlerinin, "Notepad++ alan adını, eski Notepad++ sürümlerinde var olan yetersiz güncelleme doğrulama kontrollerinden faydalanma hedefiyle özel olarak hedef aldığı" belirtildi. Olay kayıtları, bilgisayar korsanlarının düzeltildikten sonra bile zayıflıklardan birini yeniden sömürmeye çalıştığını, ancak bu girişimin başarısız olduğunu gösteriyor.
Bağımsız araştırmacı Kevin Beaumont'a göre, ağlarında Notepad++ yüklü olan cihazlarda "güvenlik olayları" yaşayan üç kuruluş kendisine ulaştı. Bu olaylar sonucunda, bilgisayar korsanlarının bir web tabanlı arayüz kullanarak doğrudan kontrolü ele geçirebildiği belirtildi. Beaumont, bu üç kuruluşun da Doğu Asya ile ilgili çıkarları olduğunu ekledi.
Araştırmacı, Notepad++ sürüm 8.8.8'in Kasım ortasında "Notepad++ Güncelleyicisini, Notepad++ olmayan bir şey sunacak şekilde ele geçirilmeye karşı daha dayanıklı hale getirmek" için hata düzeltmeleri getirmesiyle şüphelerinin arttığını belirtti.
Bu güncelleme, GUP veya WinGUP olarak bilinen özel bir Notepad++ güncelleyicisinde değişiklikler yaptı. gup.exe yürütülebilir dosyası, kullanılan sürümü https://notepad-plus-plus.org/update/getDownloadUrl.php adresine bildiriyor ve ardından gup.xml adlı bir dosyadan güncelleme URL'sini alıyor. URL'de belirtilen dosya, cihazın %TEMP% dizinine indiriliyor ve ardından çalıştırılıyor.
Beaumont, yaptığı açıklamada, teorisini Pazartesi günü Notepad++ tarafından yapılan duyurudan iki ay önce, yani Aralık ayında yayınladığını belirtti. Notepad++'ın detaylarıyla birleştiğinde, bu teorinin doğru olduğu anlaşıldı.
Beaumont ayrıca, arama motorlarının zararlı yazılım içeren Notepad++ sürümlerini tanıtan reklamlarla "dolu olduğunu" ve birçok kullanıcının bu sürümleri farkında olmadan ağlarında çalıştırdığını konusunda uyarıda bulundu. Zararlı Notepad++ uzantılarının yaygınlaşması da riski artırıyor.
Tüm kullanıcılara, manuel olarak notepad-plus-plus.org adresinden indirilen resmi sürüm 8.8.8 veya daha yüksek bir sürümü yüklediklerinden emin olmalarını tavsiye etti. Bu tavsiyeyi kaleme almasından bu yana, Notepad++ geliştiricileri tüm kullanıcılara 8.9.1 veya daha yüksek bir sürümü yüklediklerinden emin olmaları yönünde çağrıda bulundular.
Notepad++'ı yöneten ve güncelleyen daha büyük kuruluşların, notepad-plus-plus.org adresini engellemeyi veya gup.exe işleminin internet erişimini engellemeyi düşünebileceklerini söyledi. Uzantılar için sağlam izleme sistemleri olmadıkça notepad++.exe işleminin internet erişimini engellemenin de faydalı olabileceğini ekledi, ancak bunun "çoğu kuruluş için gereğinden fazla ve pratik olmadığını" belirtti.
Cihazlarının hedef alınıp alınmadığını araştırmak isteyen kullanıcılar, daha önce bağlantısı verilen Rapid 7 gönderisindeki (https://www.rapid7.com/blog/post/tr-chrysalis-backdoor-dive-into-lotus-blossoms-toolkit/) gelişmiş zararlı yazılım belirtilerine başvurabilirler.
Notepad++, resmi Windows metin düzenleyicisi Notepadden'da bulunmayan fonksiyonlar sunması nedeniyle uzun süredir geniş ve sadık bir kullanıcı kitlesi edinmiştir. Microsoft'un Copilot yapay zekasını Notepad'a entegre etme yönündeki son hamleleri, alternatif düzenleyiciye olan ilgiyi daha da artırmıştır. Ne yazık ki, diğer birçok açık kaynaklı proje gibi, Notepad++ için sağlanan fonlar, internetin ona olan bağımlılığı karşısında yetersiz kalmaktadır. Altı aylık güvenlik açığına yol açan zayıflıklar, daha fazla kaynak mevcut olsaydı kolayca tespit edilip giderilebilirdi.
Gönderi, Rapid 7 gönderisinden alınan ayrıntıları sağlamak için 3., 4. ve 16. paragrafların eklenmesiyle güncellenmiştir.
