Автор на браузъра Pale Moon информация за компрометирането на сървъра archive.palemoon.org, който съхранява архив от минали версии на браузъра до версия 27.6.2 включително. По време на хакването нападателите са заразили всички изпълними файлове с инсталатори на Pale Moon за Windows, намиращи се на сървъра със зловреден софтуер. По предварителни данни подмяната на зловреден софтуер е извършена на 27 декември 2017 г. и е открита едва на 9 юли 2019 г., т.е. остана незабелязана година и половина.
Проблемният сървър в момента е офлайн за разследване. Сървър, от който са разпространени текущите версии
Pale Moon не е засегнат, проблемът засяга само стари версии на Windows, инсталирани от архива (изданията се преместват в архива, когато се пускат нови версии). По време на хакването сървърът работеше под Windows и работеше във виртуална машина, наета от оператора Frantech/BuyVM. Все още не е ясно какъв вид уязвимост е била използвана и дали е била специфична за Windows или е засегнала някои работещи сървърни приложения на трети страни.
След като получиха достъп, нападателите селективно заразиха всички exe файлове, свързани с Pale Moon (инсталатори и саморазархивиращи се архиви) с троянски софтуер , насочен към кражба на криптовалута чрез замяна на биткойн адреси в клипборда. Изпълнимите файлове в zip архивите не са засегнати. Промените в инсталационната програма може да са открити от потребителя чрез проверка на цифровите подписи или хешовете SHA256, прикачени към файловете. Използваният зловреден софтуер също е успешен най-актуалните антивируси.
На 26 май 2019 г., по време на активността на сървъра на нападателите (не е ясно дали това са същите нападатели като при първото хакване или други), нормалната работа на archive.palemoon.org беше нарушена - хостът не успя за рестартиране и данните са повредени. Това включва загуба на системни регистрационни файлове, които биха могли да включват по-подробни следи, показващи естеството на атаката. По време на тази повреда администраторите не знаеха за компромиса и възстановиха архива в работно състояние, използвайки нова среда, базирана на CentOS и заменяйки FTP изтеглянията с HTTP. Тъй като инцидентът не беше забелязан, файловете от резервното копие, които вече бяха заразени, бяха прехвърлени на новия сървър.
Анализирайки възможните причини за компромиса, се предполага, че нападателите са получили достъп чрез отгатване на паролата за акаунта на хостинг персонала, получаване на директен физически достъп до сървъра, атака на хипервайзора, за да получат контрол над други виртуални машини, хакване на уеб контролния панел , прихващане на сесия на отдалечен работен плот (използван е RDP протокол) или чрез използване на уязвимост в Windows Server. Злонамерените действия са извършени локално на сървъра с помощта на скрипт за извършване на промени в съществуващи изпълними файлове, вместо чрез повторното им изтегляне отвън.
Авторът на проекта твърди, че само той е имал администраторски достъп до системата, достъпът е бил ограничен до един IP адрес, а основната операционна система Windows е актуализирана и защитена от външни атаки. В същото време протоколите RDP и FTP бяха използвани за отдалечен достъп и на виртуалната машина беше стартиран потенциално опасен софтуер, който можеше да причини хакване. Въпреки това, авторът на Pale Moon е склонен да вярва, че хакването е извършено поради недостатъчна защита на инфраструктурата на виртуалната машина на доставчика (например, в даден момент, чрез избор на несигурна парола на доставчика, използвайки стандартния интерфейс за управление на виртуализацията уебсайт на OpenSSL).
Източник: opennet.ru