Аўтар браўзэра Pale Moon звесткі аб кампраметацыі сервера archive.palemoon.org, на якім захоўваўся архіў мінулых выпускаў браўзэра да версіі 27.6.2 улучна. Падчас узлому атакавалыя інфікавалі шкоднасным ПА усе размешчаныя на серверы выкананыя файлы з усталёўнікамі Pale Moon для Windows. Па папярэдніх дадзеных падстаноўка шкоднаснага ПЗ была здзейснена яшчэ 27 снежня 2017 года, а выяўлена толькі 9 ліпеня 2019 года, г.зн. паўтара гады заставалася незаўважанай.
У цяперашні час праблемны сервер адключаны для правядзення разбору. Сервер, з якога распаўсюджваліся актуальныя выпускі
Pale Moon, не пацярпеў, праблема закранае толькі старыя Windows-версіі, устаноўленыя з архіва (выпускі перамяшчаюцца ў архіў па меры выхаду новых версій). Падчас узлому сервер працаваў па кіраванні Windows і быў запушчаны ў віртуальнай машыне, арандаванай у аператара Frantech / BuyVM. Якая менавіта ўразлівасць была эксплуатаваная і спецыфічная ці яна для Windows або закранала нейкія запушчаныя іншыя серверныя прыкладанні пакуль не ясна.
Пасля атрымання доступу атакавалыя выбарачна інфікавалі ўсе exe-файлы, злучаныя з Pale Moon (інталятары і самораспаковывающиеся архівы), траянскім ПА , накіраваным на крадзеж криптовалюты праз падмену bitcoin-адрасоў у буферы абмену. Выконваныя файлы ўнутры архіваў zip не здзіўлены. Змены ва ўсталёўніку маглі быць выяўлены карыстачом пры праверцы прыкладаемых да файлаў лічбавых подпісаў ці хэшаў SHA256. Выкарыстоўванае шкоднаснае ПЗ таксама паспяхова большасцю актуальных антывірусаў.
26 мая 2019 года ў працэсе актыўнасці на серверы зламыснікаў (не зразумела тыя ж гэта атакуючыя, што пры першым узломе або іншыя), нармальная працаздольнасць archive.palemoon.org была парушана - хост не змог перазагрузіцца, а дадзеныя былі пашкоджаны. У тым ліку былі страчаныя сістэмныя логі, якія маглі ўключаць больш дэталёвыя сляды, якія сведчаць аб характары нападу. У момант дадзенага збою адміністратары не падазравалі аб кампраметацыі і аднавілі працу архіва, выкарыстоўваючы новае асяроддзе на аснове CentOS і замяніўшы загрузку праз FTP на HTTP. Паколькі інцыдэнт не быў заўважаны, на новы сервер былі перанесены файлы з рэзервовай копіі, якія ўжо былі інфіцыраваны.
Разбіраючы магчымыя чыннікі кампраметацыі мяркуецца, што атакавалыя атрымалі доступ падабраўшы пароль да ўліковага запісу персанала хостынгу, атрымаўшы прамы фізічны доступ да сервера, выканаўшы напад на гіпервізор для атрымання кантролю за іншымі віртуальнымі машынамі, узламаўшы web-панэль кіравання, перахапіўшы сеанс выдаленага звароту да рабочага. (выкарыстоўваўся пратакол RDP) або эксплуатаваўшы ўразлівасць у Windows Server. Шкоднасныя дзеянні былі зроблены лакальна на серверы з выкарыстаннем скрыпту для занясення змен ва ўжо наяўныя выкананыя файлы, а не шляхам іх паўторнай загрузкі звонку.
Аўтар праекта запэўнівае, што толькі ён меў доступ адміністратара ў сістэме, доступ быў абмежаваны адным IP-адрасам, а базавая АС Windows была абноўлена і абаронена ад вонкавых нападаў. Пры гэтым для выдаленага доступу выкарыстоўваліся пратаколы RDP і FTP, а таксама на віртуальнай машыне запускалася патэнцыйна небяспечнае ПЗ, што магло стаць прычынай узлому. Тым не менш, аўтар Pale Moon схіляецца да версіі, што ўзлом быў здзейснены з-за недастатковай абароны інфраструктуры віртуальных машын у правайдэра (напрыклад, у свой час праз падбор ненадзейнага пароля правайдэра пры дапамозе штатнага інтэрфейсу кіравання віртуалізацыяй сайт OpenSSL).
Крыніца: opennet.ru