Theo thông báo của các nhà phát triển hôm thứ Hai, cơ sở hạ tầng cung cấp các bản cập nhật cho Notepad++ - một trình soạn thảo văn bản được sử dụng rộng rãi trên Windows - đã bị tin tặc nghi là thuộc chính phủ Trung Quốc xâm nhập trong sáu tháng. Chúng đã sử dụng quyền kiểm soát này để phát tán các phiên bản cài đặt cửa hậu của ứng dụng đến các mục tiêu được lựa chọn.

“Tôi thành thật xin lỗi tất cả người dùng bị ảnh hưởng bởi vụ tấn công này,” tác giả bài đăng trên trang web chính thức notepad-plus-plus.org viết hôm thứ Hai. Bài đăng cho biết vụ tấn công bắt đầu từ tháng Sáu năm ngoái với “sự xâm phạm ở cấp độ cơ sở hạ tầng cho phép các đối tượng xấu chặn và chuyển hướng lưu lượng cập nhật hướng đến notepad-plus-plus.org.” Những kẻ tấn công, mà nhiều nhà điều tra cho rằng có liên hệ với chính phủ Trung Quốc, sau đó đã chọn lọc chuyển hướng một số người dùng mục tiêu đến các máy chủ cập nhật độc hại, nơi họ nhận được các bản cập nhật có cài đặt mã độc. Notepad++ chỉ giành lại được quyền kiểm soát cơ sở hạ tầng của mình vào tháng Mười Hai.

Nhóm tin tặc đã lợi dụng quyền truy cập của mình để cài đặt một phần mềm độc hại chưa từng thấy trước đây, được đặt tên là Chrysalis. Công ty bảo mật Rapid 7 mô tả nó là một "cửa hậu tùy chỉnh, giàu tính năng".

Các nhà nghiên cứu của công ty cho biết: “Với nhiều khả năng đa dạng, đây là một công cụ tinh vi và lâu dài, chứ không phải là một tiện ích dùng một lần rồi bỏ”.

Thực hành hack bàn phím

Notepad++ cho biết các quan chức của nhà cung cấp giấu tên lưu trữ cơ sở hạ tầng cập nhật đã tham khảo ý kiến ​​của các chuyên gia ứng phó sự cố và phát hiện ra rằng hệ thống vẫn bị xâm nhập cho đến ngày 2 tháng 9. Ngay cả sau đó, những kẻ tấn công vẫn duy trì thông tin đăng nhập vào các dịch vụ nội bộ cho đến ngày 2 tháng 12, khả năng này cho phép chúng tiếp tục chuyển hướng lưu lượng cập nhật được chọn đến các máy chủ độc hại. Kẻ tấn công “đã nhắm mục tiêu cụ thể vào tên miền Notepad++ với mục đích khai thác các biện pháp kiểm soát xác minh cập nhật không đầy đủ tồn tại trong các phiên bản cũ hơn của Notepad++”. Nhật ký sự kiện cho thấy tin tặc đã cố gắng khai thác lại một trong những điểm yếu sau khi nó được khắc phục nhưng nỗ lực này đã thất bại.

Theo nhà nghiên cứu độc lập Kevin Beaumont, ba tổ chức đã thông báo với ông rằng các thiết bị trong mạng lưới của họ có cài đặt Notepad++ đã gặp phải “sự cố bảo mật” dẫn đến “việc tin tặc có thể trực tiếp điều khiển thiết bị thông qua bàn phím”, nghĩa là chúng có thể chiếm quyền kiểm soát bằng giao diện web. Beaumont cho biết cả ba tổ chức này đều có lợi ích ở Đông Á.

Nhà nghiên cứu giải thích rằng ông bắt đầu nghi ngờ khi phiên bản Notepad++ 8.8.8 tung ra các bản vá lỗi vào giữa tháng 11 nhằm "tăng cường khả năng bảo mật cho trình cập nhật Notepad++ để tránh bị chiếm quyền kiểm soát và phát tán thứ gì đó… không phải là Notepad++."

Bản cập nhật đã thực hiện các thay đổi đối với trình cập nhật Notepad++ tùy chỉnh có tên là GUP, hoặc WinGUP. Tệp thực thi gup.exe chịu trách nhiệm báo cáo phiên bản đang sử dụng cho https://notepad-plus-plus.org/update/getDownloadUrl.php và sau đó truy xuất URL cho bản cập nhật từ một tệp có tên gup.xml. Tệp được chỉ định trong URL được tải xuống thư mục %TEMP% của thiết bị và sau đó được thực thi.

Beaumont đã viết:

Nếu bạn có thể chặn và thay đổi lưu lượng truy cập này, bạn có thể chuyển hướng quá trình tải xuống đến bất kỳ vị trí nào nó xuất hiện bằng cách thay đổi URL trong thuộc tính.

Lưu lượng truy cập này đáng lẽ phải được truyền qua HTTPS, tuy nhiên có vẻ như bạn có thể can thiệp vào lưu lượng truy cập nếu bạn ở cấp độ nhà cung cấp dịch vụ Internet (ISP) và chặn TLS. Trong các phiên bản Notepad++ trước đây, lưu lượng truy cập chỉ được truyền qua HTTP.

Các tệp tải xuống đều được ký điện tử—tuy nhiên, một số phiên bản Notepad++ trước đây sử dụng chứng chỉ gốc tự ký, được lưu trữ trên Github. Với phiên bản 8.8.7, phiên bản trước đó, điều này đã được chuyển trở lại sử dụng GlobalSign. Trên thực tế, có một tình trạng là quá trình kiểm tra giả mạo trong quá trình tải xuống không được thực hiện một cách mạnh mẽ.

Vì lưu lượng truy cập vào notepad-plus-plus.org khá hiếm, nên có thể can thiệp vào chuỗi kết nối của nhà cung cấp dịch vụ Internet (ISP) và chuyển hướng đến một trang tải xuống khác. Tuy nhiên, để thực hiện điều này trên quy mô lớn cần rất nhiều tài nguyên.

Beaumont đã công bố giả thuyết của mình vào tháng 12, đúng hai tháng trước ngày Notepad++ đưa ra cảnh báo vào thứ Hai. Kết hợp với các chi tiết từ Notepad++, giờ đây rõ ràng là giả thuyết của ông hoàn toàn chính xác.