البنية التحتية تقديم التحديثات قال المطورون يوم الاثنين إن برنامج Notepad ++ – وهو محرر نصوص مستخدم على نطاق واسع لنظام التشغيل Windows – قد تم اختراقه لمدة ستة أشهر من قبل قراصنة يشتبه في أنهم تابعون للدولة الصينية والذين استخدموا سيطرتهم لتقديم إصدارات خلفية من التطبيق لتحديد الأهداف.
“أعتذر بشدة لجميع المستخدمين المتأثرين بهذا الاختطاف”، كتب مؤلف المنشور المنشور على الموقع الرسمي لـnotepad-plus-plus.org يوم الاثنين. وقال المنشور إن الهجوم بدأ في يونيو الماضي “بتسوية على مستوى البنية التحتية سمحت للجهات الفاعلة الخبيثة باعتراض وإعادة توجيه حركة مرور التحديث الموجهة إلى notepad-plus-plus.org”. قام المهاجمون، الذين ربطهم العديد من المحققين بالحكومة الصينية، بإعادة توجيه بعض المستخدمين المستهدفين بشكل انتقائي إلى خوادم تحديث ضارة حيث تلقوا تحديثات خلفية. لم يستعيد برنامج Notepad++ السيطرة على بنيته التحتية حتى ديسمبر.
استخدم المهاجمون وصولهم لتثبيت حمولة لم يسبق لها مثيل والتي أطلق عليها اسم Chrysalis. ووصفته شركة الأمن Rapid 7 بأنه “باب خلفي مخصص وغني بالميزات”.
وقال باحثون في الشركة: “إن المجموعة الواسعة من قدراتها تشير إلى أنها أداة متطورة ودائمة، وليست أداة بسيطة يمكن التخلص منها”.
التدريب العملي على اختراق لوحة المفاتيح
قال برنامج Notepad++ إن المسؤولين في الموفر الذي لم يذكر اسمه والذي يستضيف البنية التحتية للتحديث تشاوروا مع المستجيبين للحوادث ووجدوا أنها ظلت معرضة للخطر حتى 2 سبتمبر. وحتى ذلك الحين، احتفظ المهاجمون ببيانات اعتماد الخدمات الداخلية حتى 2 ديسمبر، وهي القدرة التي سمحت لهم بمواصلة إعادة توجيه حركة مرور التحديث المحددة إلى الخوادم الضارة. استهدف ممثل التهديد “نطاق Notepad++ على وجه التحديد بهدف استغلال عناصر التحكم غير الكافية للتحقق من التحديث التي كانت موجودة في الإصدارات الأقدم من Notepad++.” تشير سجلات الأحداث إلى أن المتسللين حاولوا إعادة استغلال إحدى نقاط الضعف بعد إصلاحها لكن المحاولة باءت بالفشل.
وفقًا للباحث المستقل كيفن بومونت، أخبرته ثلاث منظمات أن الأجهزة الموجودة داخل شبكاتها والتي تم تثبيت برنامج Notepad ++ عليها شهدت “حوادث أمنية” “أدت إلى وقوع أيدي على جهات فاعلة تهدد لوحة المفاتيح”، مما يعني أن المتسللين كانوا قادرين على التحكم المباشر باستخدام واجهة قائمة على الويب. وقال بومونت إن المنظمات الثلاث لها مصالح في شرق آسيا.
وأوضح الباحث أن شكوكه قد أثيرت عندما قدم الإصدار 8.8.8 من برنامج Notepad++ إصلاحات للأخطاء في منتصف نوفمبر “لتعزيز محدث Notepad++ من التعرض للاختطاف لتقديم شيء ما… وليس Notepad++.”
أجرى التحديث تغييرات على برنامج تحديث Notepad ++ المخصص المعروف باسم GUP، أو بدلاً من ذلك، WinGUP. يقوم الملف التنفيذي المسؤول عن gup.exe بالإبلاغ عن الإصدار المستخدم إلى https://notepad-plus-plus.org/update/getDownloadUrl.php ثم يسترد عنوان URL للتحديث من ملف يسمى gup.xml. يتم تنزيل الملف المحدد في عنوان URL إلى دليل %TEMP% الخاص بالجهاز ثم يتم تنفيذه.
كتب بومونت:
إذا كان بإمكانك اعتراض حركة المرور هذه وتغييرها، فيمكنك إعادة توجيه التنزيل إلى أي موقع يظهر فيه عن طريق تغيير عنوان URL في الموقع.
من المفترض أن تكون حركة المرور هذه عبر HTTPS، ولكن يبدو أنك قد تكون (قادرًا) على التلاعب بحركة المرور إذا كنت تجلس على مستوى مزود خدمة الإنترنت واعتراض TLS. في الإصدارات السابقة من برنامج Notepad++، كانت حركة المرور تتم عبر HTTP مباشرةً.
يتم توقيع التنزيلات نفسها، ولكن بعض الإصدارات السابقة من برنامج Notepad++ تستخدم شهادة جذر موقعة ذاتيًا، وهي موجودة على Github. مع الإصدار السابق 8.8.7، تم إرجاع هذا إلى GlobalSign. على نحو فعال، هناك موقف لا يتم فيه فحص التنزيل بشكل صارم بحثًا عن أي تلاعب.
ونظرًا لأن حركة المرور إلى موقع notepad-plus-plus.org نادرة إلى حد ما، فقد يكون من الممكن الجلوس داخل سلسلة مزودي خدمة الإنترنت وإعادة التوجيه إلى تنزيل مختلف. للقيام بذلك على أي نطاق يتطلب الكثير من الموارد.
نشر بومونت نظريته في العمل في ديسمبر، قبل شهرين من اليوم السابق لاستشارة يوم الاثنين من برنامج Notepad++. وبالجمع مع التفاصيل الواردة في برنامج Notepad++، أصبح من الواضح الآن أن الفرضية كانت صحيحة.
وحذر بومونت أيضًا من أن محركات البحث “ممتلئة” بالإعلانات التي تروج لإصدارات طروادة من برنامج Notepad++، لدرجة أن العديد من المستخدمين يقومون بتشغيلها عن غير قصد داخل شبكاتهم. تؤدي سلسلة من ملحقات Notepad++ الضارة إلى تفاقم المخاطر.
