Hacklendiği ortaya çıktı! Bu uygulamayı kullananlar dikkat

Geliştiricilerin yaptığı açıklamaya göre; Windows için yaygın olarak kullanılan metin düzenleyicisi Notepad++'ın güncelleme altyapısı, altı ay boyunca Çin devleti destekli hackerlar tarafından ele geçirildi. Saldırganlar, bu kontrolü kullanarak seçili hedeflere uygulamanın arka kapı içeren sürümlerini dağıttı.

GÜNCELLEME TRAFİĞİNİ KESİP YÖNLENDİRDİLER

Arstechnica'da yer alan habere göre, resmi notepad-plus-plus.org sitesinde yayınlanan bir gönderinin yazarı, etkilenen tüm kullanıcılardan özür diledi. Gönderide saldırının geçtiğimiz Haziran ayında, "kötü niyetli aktörlerin notepad-plus-plus.org hedefine giden güncelleme trafiğini kesmesine ve yönlendirmesine olanak tanıyan altyapı düzeyinde bir ihlal " ile başladığı belirtildi.

Birden fazla araştırmacının Çin hükümetiyle ilişkilendirdiği saldırganlar, daha sonra belirli hedef kullanıcıları kötü amaçlı güncelleme sunucularına yönlendirerek, bu kullanıcıların arka kapılı güncellemeler almasını sağladı. Notepad++, altyapısının kontrolünü ancak Aralık ayında geri alabildi.

Saldırganlar erişimlerini, Chrysalis adı verilen ve daha önce hiç görülmemiş bir yükü (payload) yüklemek için kullandılar. Güvenlik firması Rapid 7, bunu "özel, zengin özellikli bir arka kapı" olarak tanımladı. Şirket araştırmacıları, "Geniş yetenek yelpazesi, bunun basit bir kullan-at araç değil, sofistike ve kalıcı bir araç olduğunu gösteriyor," dedi.

NELER YAŞANDI?

Notepad++, güncelleme altyapısını barındıran isimsiz sağlayıcı yetkililerinin olay müdahale ekipleriyle görüştüğünü ve altyapının 2 Eylül'e kadar ele geçirilmiş durumda kaldığını tespit etti. O tarihten sonra bile saldırganlar, 2 Aralık'a kadar dahili hizmetlere ait kimlik bilgilerini ellerinde tutarak seçili güncelleme trafiğini kötü amaçlı sunuculara yönlendirmeye devam edebildiler. Tehdit aktörü (threat actor), "eski Notepad++ sürümlerinde var olan yetersiz güncelleme doğrulama kontrollerinden yararlanmak amacıyla özellikle Notepad++ alan adını hedef aldı." Olay günlükleri, hackerların bir zayıflık düzeltildikten sonra onu tekrar istismar etmeye çalıştıklarını ancak bu girişimin başarısız olduğunu gösteriyor.

Bağımsız araştırmacı Kevin Beaumont'a göre, üç kuruluş kendisine ağlarında Notepad++ yüklü cihazlarda "güvenlik olayları" yaşandığını ve bunun "klavye başında tehdit aktörleri" ile sonuçlandığını (yani hackerların web tabanlı bir arayüz kullanarak cihazı doğrudan kontrol edebildiklerini) bildirdi. Beaumont, bu üç kuruluşun da Doğu Asya ile bağlantıları olduğunu belirtti.

Araştırmacı, şüphelerinin Kasım ayı ortasında Notepad++ 8.8.8 sürümünün, "Notepad++ Güncelleyicisinin (Updater) Notepad++ olmayan bir şeyi dağıtmak üzere ele geçirilmesini önlemek için" hata düzeltmeleri getirmesiyle arttığını açıkladı.

ARAMA MOTORLARINA DİKKAT ÇEKTİ, KULLANICILARA ÇAĞRIDA BULUNDU

Beaumont ayrıca arama motorlarının Notepad++'ın truva atı (trojan) içeren sürümlerini öne çıkaran reklamlarla "tıka basa dolu" olduğu ve birçok kullanıcının farkında olmadan bunları ağlarında çalıştırdığı konusunda uyardı. Kötü amaçlı Notepad++ uzantıları da riski artırıyor.

Araştırmacı, tüm kullanıcıların notepad-plus-plus.org adresinden manuel olarak yüklenen resmi sürüm 8.8.8 veya üzerini çalıştırdığından emin olmalarını tavsiye etti. O bu tavsiyeyi kaleme aldığından beri, Notepad++ geliştiricileri tüm kullanıcıları 8.9.1 veya üzerini çalıştırdıklarından emin olmaya çağırdı.

Beaumont, Notepad++'ı yöneten ve güncelleyen büyük kuruluşların notepad-plus-plus.org adresini engellemeyi veya gup.exe işleminin internet erişimini kesmeyi düşünmeleri gerektiğini söyledi.