Autor pretraživača Pale Moon informacije o kompromitovanju servera archive.palemoon.org, koji je pohranio arhivu prošlih izdanja pretraživača do i uključujući verziju 27.6.2. Tokom hakovanja, napadači su malverom zarazili sve izvršne datoteke sa Pale Moon instalaterima za Windows koji se nalaze na serveru. Prema preliminarnim podacima, zamjena malvera je izvršena 27. decembra 2017. godine, a otkrivena je tek 9. jula 2019. godine, tj. ostao nezapažen godinu i po dana.
Problematični server je trenutno van mreže radi istrage. Server sa kojeg su distribuirana trenutna izdanja
Pale Moon nije pogođen, problem se odnosi samo na stare Windows verzije instalirane iz arhive (izdanja se premeštaju u arhivu kako nove verzije budu objavljene). Tokom hakovanja, server je pokretao Windows i radio je na virtuelnoj mašini iznajmljenoj od operatera Frantech/BuyVM. Još nije jasno koja je vrsta ranjivosti iskorišćena i da li je specifična za Windows ili je uticala na neke pokrenute serverske aplikacije trećih strana.
Nakon što su dobili pristup, napadači su selektivno zarazili sve exe datoteke povezane sa Pale Moon (instalatori i arhive koje se samoraspakuju) trojanskim softverom , čiji je cilj krađa kriptovalute zamjenom bitcoin adresa u međuspremniku. To ne utiče na izvršne datoteke unutar zip arhiva. Korisnik je možda otkrio promjene u instalateru provjerom digitalnih potpisa ili SHA256 heševa priloženih datotekama. Korišteni zlonamjerni softver je također uspješan najnoviji antivirusni programi.
Dana 26. maja 2019. godine, tokom aktivnosti na serveru napadača (nije jasno da li se radi o istim napadačima kao u prvom hakiranju ili drugima), poremećen je normalan rad archive.palemoon.org - host nije mogao da se ponovo pokrene, a podaci su oštećeni. Ovo je uključivalo gubitak sistemskih dnevnika, koji su mogli uključivati detaljnije tragove koji ukazuju na prirodu napada. U vrijeme ovog neuspjeha, administratori nisu bili svjesni kompromisa i vratili su arhivu u rad koristeći novo okruženje zasnovano na CentOS-u i zamjenivši FTP preuzimanja sa HTTP-om. Pošto incident nije primećen, fajlovi iz rezervne kopije koji su već bili zaraženi su prebačeni na novi server.
Analizirajući moguće razloge kompromisa, pretpostavlja se da su napadači dobili pristup pogađanjem lozinke na račun osoblja hostinga, direktnim fizičkim pristupom serveru, napadom na hipervizor da bi stekli kontrolu nad drugim virtuelnim mašinama, hakiranjem web kontrolne table. , presretanje sesije udaljenog pristupa radnoj površini (korišten je RDP protokol) ili iskorištavanje ranjivosti u Windows Serveru. Zlonamjerne radnje izvršene su lokalno na serveru pomoću skripte za unošenje promjena u postojeće izvršne datoteke, umjesto njihovim ponovnim preuzimanjem izvana.
Autor projekta tvrdi da je samo on imao administratorski pristup sistemu, pristup je bio ograničen na jednu IP adresu, a osnovni Windows OS je ažuriran i zaštićen od vanjskih napada. Istovremeno, za daljinski pristup korišćeni su RDP i FTP protokoli, a na virtuelnoj mašini je pokrenut potencijalno nebezbedan softver koji bi mogao da izazove hakovanje. Međutim, autor Pale Moon sklon je vjerovati da je hakiranje izvršeno zbog nedovoljne zaštite infrastrukture virtuelne mašine provajdera (na primjer, u jednom trenutku, kroz odabir nesigurne lozinke provajdera koristeći standardni interfejs za upravljanje virtuelizacijom OpenSSL web stranica).
izvor: opennet.ru