Skrywer van die Pale Moon-blaaier inligting oor die kompromie van die archive.palemoon.org-bediener, wat 'n argief van vorige blaaiervrystellings gestoor het tot en met weergawe 27.6.2. Tydens die hack het die aanvallers alle uitvoerbare lêers met Pale Moon-installeerders vir Windows wat op die bediener geleë is, met wanware besmet. Volgens voorlopige data is die vervanging van wanware op 27 Desember 2017 uitgevoer en is eers op 9 Julie 2019 opgespoor, d.w.s. vir 'n jaar en 'n half ongemerk gebly.
Die problematiese bediener is tans vanlyn vir ondersoek. Bediener waarvandaan huidige vrystellings versprei is
Pale Moon word nie geraak nie, die probleem raak net ou Windows-weergawes wat vanaf die argief geïnstalleer is (vrystellings word na die argief geskuif soos nuwe weergawes vrygestel word). Tydens die hack het die bediener Windows gebruik en in 'n virtuele masjien gehardloop wat van die operateur Frantech/BuyVM gehuur is. Dit is nog nie duidelik watter soort kwesbaarheid uitgebuit is en of dit spesifiek vir Windows was of sommige lopende derdeparty-bedienertoepassings geraak het nie.
Nadat hulle toegang verkry het, het die aanvallers selektief alle exe-lêers wat met Pale Moon geassosieer word (installeerders en self-onttrekkingsargiewe) met Trojaanse sagteware besmet , wat daarop gemik is om cryptocurrency te steel deur bitcoin-adresse op die knipbord te vervang. Uitvoerbare lêers binne zip-argiewe word nie geraak nie. Veranderinge aan die installeerder is dalk deur die gebruiker opgespoor deur die digitale handtekeninge of SHA256-hashes wat aan die lêers geheg is, na te gaan. Die wanware wat gebruik word, is ook suksesvol mees huidige antivirusse.
Op 26 Mei 2019, tydens die aktiwiteit op die bediener van aanvallers (dit is nie duidelik of dit dieselfde aanvallers as in die eerste hack of ander was nie), is die normale werking van archive.palemoon.org ontwrig - die gasheer kon nie om te herlaai, en die data is beskadig. Dit het die verlies van stelsellogboeke ingesluit, wat meer gedetailleerde spore kon insluit wat die aard van die aanval aandui. Ten tyde van hierdie mislukking was administrateurs nie bewus van die kompromie nie en het die argief in werking herstel deur 'n nuwe CentOS-gebaseerde omgewing te gebruik en FTP-aflaaie met HTTP te vervang. Aangesien die voorval nie opgemerk is nie, is lêers vanaf die rugsteun wat reeds besmet was na die nuwe bediener oorgedra.
Deur die moontlike redes vir die kompromie te ontleed, word aanvaar dat die aanvallers toegang verkry het deur die wagwoord tot die gasheerpersoneelrekening te raai, direkte fisiese toegang tot die bediener te verkry, die hiperviser aan te val om beheer oor ander virtuele masjiene te verkry, die webbeheerpaneel te hack. , die onderskep van 'n afgeleë lessenaarsessie (RDP-protokol is gebruik) of deur 'n kwesbaarheid in Windows Server te ontgin. Die kwaadwillige aksies is plaaslik op die bediener uitgevoer met behulp van 'n skrip om veranderinge aan bestaande uitvoerbare lêers aan te bring, eerder as om dit van buite af te herlaai.
Die skrywer van die projek beweer dat net hy administrateurtoegang tot die stelsel gehad het, toegang was beperk tot een IP-adres, en die onderliggende Windows-bedryfstelsel is opgedateer en beskerm teen eksterne aanvalle. Terselfdertyd is RDP- en FTP-protokolle vir afstandtoegang gebruik, en potensieel onveilige sagteware is op die virtuele masjien bekendgestel, wat inbraak kan veroorsaak. Die skrywer van Pale Moon is egter geneig om te glo dat die hack gepleeg is as gevolg van onvoldoende beskerming van die virtuele masjien-infrastruktuur van die verskaffer (byvoorbeeld, op een slag deur die keuse van 'n onveilige verskaffer wagwoord deur gebruik te maak van die standaard virtualisering bestuur koppelvlak OpenSSL webwerf).
Bron: opennet.ru