مؤلف متصفح Pale Moon معلومات حول اختراق خادم archive.palemoon.org ، الذي قام بتخزين أرشيف إصدارات المتصفح السابقة حتى الإصدار 27.6.2 ضمناً. أثناء الاختراق ، أصاب المهاجمون ببرامج ضارة جميع الملفات القابلة للتنفيذ مع مثبتات Pale Moon لنظام التشغيل Windows المستضافة على الخادم. وفقًا للبيانات الأولية ، تم استبدال البرامج الضارة في 27 ديسمبر 2017 ، ولم يتم اكتشافها إلا في 9 يوليو 2019 ، أي مرت دون أن يلاحظها أحد لمدة عام ونصف.
خادم المشكلة معطل حاليا للتحقيق. الخادم الذي تم توزيع الإصدارات الحالية منه
لا يتأثر برنامج Pale Moon ، تتأثر فقط إصدارات Windows القديمة المثبتة من الأرشيف (يتم نقل الإصدارات إلى الأرشيف مع إصدار إصدارات جديدة). في وقت الاختراق ، كان الخادم يعمل بنظام Windows وكان يعمل في آلة افتراضية مستأجرة من Frantech / BuyVM. لم يتضح بعد نوع الثغرة الأمنية التي تم استغلالها وما إذا كانت خاصة بنظام Windows أو أثرت على بعض تطبيقات خادم الطرف الثالث قيد التشغيل.
بعد الحصول على حق الوصول ، أصاب المهاجمون بشكل انتقائي جميع ملفات exe المتعلقة بـ Pale Moon (المثبتات وأرشيفات الاستخراج الذاتي) بأحصنة طروادة ، تهدف إلى سرقة العملة المشفرة من خلال استبدال عناوين البيتكوين في الحافظة. لا تتأثر الملفات القابلة للتنفيذ داخل أرشيفات مضغوطة. ربما تم اكتشاف التغييرات في المثبت من قبل المستخدم عن طريق التحقق من التوقيعات الرقمية أو تجزئات SHA256 المرفقة بالملفات. البرامج الضارة المستخدمة ناجحة أيضًا معظم برامج مكافحة الفيروسات الحالية.
في 26 مايو 2019 ، أثناء النشاط على خادم المهاجمين (ليس من الواضح أن هؤلاء هم نفس المهاجمين كما حدث أثناء الاختراق الأول أو غيرهم) ، تعطلت العملية العادية لـ archive.palemoon.org - لم يتمكن المضيف من إعادة التشغيل ، وكانت البيانات تالفة. بما في ذلك سجلات النظام التي تم فقدها ، والتي يمكن أن تتضمن آثارًا أكثر تفصيلاً تشير إلى طبيعة الهجوم. في وقت هذا الفشل ، لم يكن المسؤولون على دراية بالتسوية واستعادوا الأرشيف باستخدام بيئة جديدة تعتمد على CentOS واستبدال تحميل FTP بـ HTTP. نظرًا لعدم ملاحظة الحادث ، تم نقل الملفات من النسخة الاحتياطية المصابة بالفعل إلى الخادم الجديد.
تحليل الأسباب المحتملة للتسوية ، من المفترض أن المهاجمين حصلوا على إمكانية الوصول من خلال تخمين كلمة المرور لحساب فريق الاستضافة ، والحصول على وصول مادي مباشر إلى الخادم ، ومهاجمة برنامج Hypervisor للتحكم في الأجهزة الافتراضية الأخرى ، واختراق لوحة التحكم على الويب ، اعتراض جلسة عمل سطح المكتب البعيد (باستخدام بروتوكول RDP) أو عن طريق استغلال ثغرة أمنية في Windows Server. تم تنفيذ الإجراءات الضارة محليًا على الخادم باستخدام برنامج نصي لإجراء تغييرات على الملفات القابلة للتنفيذ الحالية ، وليس عن طريق إعادة تنزيلها من الخارج.
يدعي مؤلف المشروع أنه كان لديه فقط حق وصول المسؤول إلى النظام ، وكان الوصول مقصورًا على عنوان IP واحد ، وتم تحديث نظام التشغيل Windows الأساسي وحمايته من الهجمات الخارجية. في الوقت نفسه ، تم استخدام بروتوكولي RDP و FTP للوصول عن بُعد ، وتم إطلاق برنامج يحتمل أن يكون غير آمن على الجهاز الظاهري ، مما قد يتسبب في حدوث قرصنة. ومع ذلك ، يميل مؤلف Pale Moon إلى الإصدار الذي تم ارتكاب الاختراق بسبب عدم كفاية الحماية للبنية التحتية للجهاز الظاهري لدى المزود (على سبيل المثال ، في وقت واحد من خلال اختيار كلمة مرور غير موثوق بها للمزود باستخدام واجهة إدارة المحاكاة الافتراضية القياسية موقع OpenSSL).
المصدر: opennet.ru