Infrastruktur yang mengirimkan pembaruan untuk Notepad++—editor teks Windows yang sangat populer—telah dibobol selama enam bulan oleh peretas yang diduga terkait negara China. Mereka memanfaatkan kendali tersebut untuk menyebarkan versi aplikasi berisi *backdoor* kepada target-target tertentu, demikian pengakuan pengembang pada Senin.
“Saya menyampaikan permohonan maaf yang mendalam kepada seluruh pengguna yang terdampak peretasan ini,” tulis pembuat Notepad++ dalam sebuah postingan di situs resmi notepad-plus-plus.org pada hari Senin. Postingan tersebut menyebutkan serangan dimulai sejak Juni lalu dengan “kompromi di tingkat infrastruktur yang memungkinkan aktor jahat mencegat dan mengalihkan lalu lintas pembaruan yang dituju ke notepad-plus-plus.org.” Para penyerang, yang oleh beberapa penyelidik dikaitkan dengan pemerintah China, kemudian secara selektif mengalihkan pengguna target tertentu ke server pembaruan berbahaya di mana mereka menerima pembaruan yang telah disisipi *backdoor*. Notepad++ baru berhasil mengendalikan kembali infrastrukturnya pada bulan Desember.
Para penyerang menggunakan aksesnya untuk memasang muatan berbahaya yang belum pernah terlihat sebelumnya yang dijuluki Chrysalis. Perusahaan keamanan Rapid7 mendeskripsikannya sebagai “*backdoor* kustom yang kaya fitur.”
“Beragam kemampuannya yang luas mengindikasikan ini adalah alat canggih dan permanen, bukan utilitas sederhana yang sekali pakai,” kata para peneliti perusahaan.
Aksi Peretasan Langsung
Notepad++ menyatakan bahwa pihak penyedia layanan hosting (yang tidak disebutkan namanya) setelah berkonsultasi dengan penanggap insiden menemukan bahwa infrastruktur tetap terkendali hingga 2 September. Bahkan setelah itu, para penyerang masih menjaga kredensial ke layanan internal sampai 2 Desember, kemampuan yang memungkinkan mereka terus mengalihkan lalu lintas pembaruan terpilih ke server jahat. Aktor ancaman tersebut “secara spesifik menargetkan domain Notepad++ dengan tujuan mengeksploitasi kontrol verifikasi pembaruan yang tidak memadai pada versi lama Notepad++.” Catatan log menunjukkan bahwa peretas mencoba mengeksploitasi kembali salah satu kerentanan setelah diperbaiki, namun upaya itu gagal.
Menurut peneliti independen Kevin Beaumont, tiga organisasi melaporkan kepadanya bahwa perangkat di dalam jaringan mereka yang memasang Notepad++ mengalami “insiden keamanan” yang “berujung pada kehadiran aktor ancaman yang melakukan aksi langsung (*hands-on keyboard*)”, artinya peretas dapat mengambil kendali langsung menggunakan antarmuka berbasis web. Ketiga organisasi tersebut, menurut Beaumont, memiliki kepentingan di Asia Timur.
Pembaruan tersebut membuat perubahan pada pengatur pembaruan (*updater*) Notepad++ khusus yang dikenal sebagai GUP, atau WinGUP. Berkas *executable* gup.exe melaporkan versi yang digunakan ke https://notepad-plus-plus.org/update/getDownloadUrl.php lalu mengambil URL untuk pembaruan dari berkas bernama gup.xml. Berkas yang ditentukan dalam URL tersebut diunduh ke direktori %TEMP% perangkat dan kemudian dijalankan.
Beaumont menulis:
Jika Anda dapat mencegat dan mengubah lalu lintas ini, Anda dapat mengalihkan unduhan ke lokasi mana pun dengan mengubah URL di dalam propertinya.
Lalu lintas ini seharusnya menggunakan HTTPS, namun tampaknya Anda [dapat] memanipulasi lalu lintas jika berada di tingkat ISP dan melakukan intersepsi TLS. Pada versi lama Notepad++, lalu lintas hanya menggunakan HTTP.
Unduhan itu sendiri ditandatangani secara digital—namun beberapa versi lama Notepad++ menggunakan sertifikat *root* yang ditandatangani sendiri, yang tersedia di Github. Pada versi 8.8.7, hal ini dikembalikan ke GlobalSign. Pada intinya, ada situasi di mana unduhan tidak diperiksa dengan kuat terhadap manipulasi.
Karena lalu lintas ke notepad-plus-plus.org relatif jarang, memungkinkan untuk berada di dalam rantai ISP dan mengalihkannya ke unduhan yang berbeda. Melakukan ini dalam skala apa pun memerlukan sumber daya yang sangat besar.
Beaumont mempublikasikan teorinya pada bulan Desember, tepat dua bulan sebelum pernyataan resmi Notepad++ pada Senin. Digabungkan dengan rincian dari Notepad++, kini jelas bahwa hipotesis tersebut sangat tepat.
Beaumont juga memperingatkan bahwa mesin pencari kini “dipenuhi” iklan yang mendorong versi Notepad++ berisi *trojan*, sehingga banyak pengguna tanpa sadar menjalankannya di dalam jaringan mereka. Maraknya ekstensi Notepad++ berbahaya hanya memperparah risiko ini.