Przez pół roku serwer aktualizacji Notepad++ był przejęty przez cyberprzestępców, jak poinformował portal Sekurak. Mogli oni w ten sposób dostarczać dowolne pliki wykonywalne – w tym malware – umożliwiające zdalny dostęp do systemów. Choć nie opublikowano pełnej analizy użytego złośliwego oprogramowania, eksperci zalecają zakładać najgorszy scenariusz – infekcje typu loader, backdoor lub inne programy umożliwiające atakującemu kontrolę nad komputerem.
Notepad++ to zaawansowany, darmowy edytor tekstu i kodu źródłowego dla systemu Windows, szczególnie popularny wśród programistów oraz administratorów. Cyberprzestępcy, przez 6 miesięcy, w sposób niezauważony eksplorowali serwer aktualizacji dostawcy. Podatność mogła wiązać się z ryzykiem zainfekowania niepożądanym oprogramowaniem komputerów użytkowników, którzy w dobrej wierze dokonali aktualizacji.
„Ta sytuacja jest wyzwaniem dla systemów bezpieczeństwa, aby w porę zadziałać i zneutralizować podejrzany, nowy ruch sieciowy pojawiający się po infekcji urządzenia skażonym oprogramowaniem. Firewall może pomóc wykryć podejrzany ruch wychodzący, jednak tylko wtedy, gdy znane są adresy IOC infrastruktury atakujących. Brak listy IOC znacząco utrudnia obronę opartą na blokowaniu adresów lub tylko zezwoleniu na ruch tylko do znanych adresów. W tym przypadku podejrzane zachowanie, to połączenie z innymi domenami niż oficjalne” – wskazuje Aleksander Kostuch, inżynier Stormshield.
Fałszywa aktualizacja to pełnoprawny incydent – jak reagować?
Jeśli złośliwy kod został uruchomiony, mógł zainstalować się w systemie komputera niezależnie od Notepad++. W takiej sytuacji odinstalowanie edytora nie gwarantuje usunięcia infekcji.
„Malware mógł dodać własne mechanizmy uruchamiania przy starcie systemu, nowe usługi lub zaplanowane zadania. Dlatego to zdarzenie należy traktować jak pełnoprawny incydent bezpieczeństwa, a nie błąd aplikacji” – wyjaśnia ekspert.
Maszynę, która mogła stać się ofiarą fałszywej aktualizacji należy potraktować jak potencjalnie przejętą, co wymaga odpowiednich działań. Pierwszy krok to odłączenie jej od sieci, a następnie najlepiej jest przekazać taki komputer do analizy specjalistom z obszaru reagowania na incydenty. Przeprowadzą oni pełne skanowanie urządzenia narzędziem klasy EDR lub dobrym rozwiązaniem antywirusowym, a także sprawdzą procesy uruchamiane przy starcie systemu, zaplanowane zadania i nieznane usługi. Jakiekolwiek nieprawidłowości będą dla nich wyraźnym sygnałem.
„Taka podstawowa kontrola w zasadzie jest wskazana w przypadku każdego użytkownika Notepad ++, który we wskazanym okresie aktualizował to oprogramowanie” – mówi Aleksander Kostuch.
Zaufane narzędzia mogą zainfekować system – jak się chronić?
Zaufane źródło, które okazuje się być skompromitowane to jeden z najgorszych scenariuszy z perspektywy cyberbezpieczeństwa organizacji.
„Ten incydent pokazuje jak bardzo niebezpiecznym jest scenariusz ataku na łańcuch dostaw oprogramowania. Problem nie polegał na samej funkcjonalności Notepad++, lecz na mechanizmie aktualizacji, który mógł zostać przekierowany na fałszywe serwery. W praktyce oznacza to, że użytkownik w dobrej wierze instalował coś, co wyglądało jak aktualizacja, a mógł przy tym pobrać zupełnie innym program” – wyjaśnia inżynier Stormshield.
Eksperci wskazują, że skuteczne zabezpieczenia w podobnych przypadkach obejmują EDR, monitoring ruchu sieciowego i firewalle, a także systemy NDR i SOAR, które wykrywają anomalie w procesach i blokują podejrzane połączenia.
Oficjalna, poprawiona wersja Notepad++ (8.9.1 lub nowsza) jest już dostępna na bezpiecznym serwerze: notepad-plus-plus.org. Incydent jest przypomnieniem, że nawet popularne i zaufane narzędzia mogą stać się wektorem ataku, a odporność organizacji wymaga m.in. dywersyfikacji dostawców i korzystania z europejskich technologii bezpieczeństwa.
