'Gebruikers Notepad++ in Vietnam, Australië en Filipijnen doelwit aanval'
De aanvallers die maandenlang malafide updates wisten te verspreiden onder gebruikers van Notepad++ hadden het onder andere voorzien op gebruikers in Vietnam, Australië, Filipijnen en El Salvador, zo stelt antivirusbedrijf Kaspersky op basis van eigen telemetriegegevens. Notepad++ is een zeer populaire editor die vooral door programmeurs wordt gebruikt. Aanvallers wisten vorig jaar juni de shared hostingserver van Notepad++ te compromitteren en gebruikten vervolgens een kwetsbaarheid in de editor om malafide updates onder specifieke gebruikers uit te rollen.
De Britse beveiligingsonderzoeker Kevin Beaumont meldde begin december dat verschillende organisaties met belangen in Oost-Azië via Notepad++ waren aangevallen. Vervolgens kwam Notepad++ met beveiligingsupdates om het probleem dat de aanvallers misbruikten te verhelpen. Hoeveel organisaties en personen slachtoffer zijn geworden is onbekend.
Antivirusbedrijf Kaspersky analyseerde de telemetriegegevens waarover het beschikt en ontdekte een tiental aangevallen gebruikers. De virusbestrijder stelt dat de aanvallers verschillende infectieketens gebruikten om slachtoffers te infecteren en continu van servers wisselden om malafide updates te verspreiden. De eerste aanvallen werden eind juli waargenomen, de laatste in oktober.
Volgens Kaspersky waren individuen in Vietnam, El Salvador en Australië, een overheidsinstantie in de Filipijnen, een financiële organisatie in El Salvador en een it-serviceprovider in Vietnam doelwit van de malafide updates. Verder claimt de virusbestrijder dat het de geïdentificeerde aanvallen wist te blokkeren op het moment dat die zich voordeden. De telemetriegegevens zijn afkomstig van gebruikers van de antivirussoftware van Kaspersky. Het totaal aantal slachtoffers en de locaties waar die zich bevinden kunnen er dan ook veel meer zijn dan nu wordt genoemd.
Kasperksy adviseert organisaties en gebruikers van Notepad++ om systemen op de aanwezigheid van NSIS-installers te controleren, aangezien die bij alle infectieketens werden gebruikt. Daarnaast wordt aangeraden om logbestanden op verkeer naar een specifiek domein te controleren. Kaspersky heeft ook Indicators of Compromise gedeeld waarmee organisaties kunnen kijken of ze ook doelwit zijn geweest.
Voor het eerst dat ik hoor dat El Salvador en Australie aan de Chinese zee liggen.
De attributie klinkt wel logisch en spioneren doe je vooral richting de buren, maar je commentaar is een tikje breed.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
(Senior) Informatie Beveiligingsadviseur - CISO Office
Ministerie van Binnenlandse Zaken en Koninkrijksrelaties
Wil jij je op strategisch niveau bezighouden met de beveiliging van informatie waar niets mee fout mag gaan? Wij geven jou volop gelegenheid om samen met deskundige collega’s te werken aan beleid, procedures, advies, risicomanagement, metrics en projecten rond informatiebeveiliging.
Wij zoeken een Junior DevOps Engineer!
Ben jij nieuwsgierig, leergierig en klaar om je te verdiepen in de wereld van DevOps? In deze functie krijg je alle ruimte om te groeien. Je werkt met de nieuwste technologieën en krijgt intensieve begeleiding van ervaren security professionals zodat je je in korte tijd kunt ontwikkelen tot een volwaardige DevOps Engineer. Je werkt in Den Haag en werkt samen met een team dat kennis, humor en uitdaging moeiteloos weet te combineren. Are you ready for a challenge?