Autor del navegador Pale Moon informació sobre el compromís del servidor archive.palemoon.org, que emmagatzemava un arxiu de versions anteriors del navegador fins a la versió 27.6.2 inclosa. Durant el pirateig, els atacants van infectar tots els fitxers executables amb instal·ladors de Pale Moon per a Windows situats al servidor amb programari maliciós. Segons dades preliminars, la substitució de programari maliciós es va dur a terme el 27 de desembre de 2017, i només es va detectar el 9 de juliol de 2019, és a dir. va passar un any i mig desapercebut.
Actualment, el servidor problemàtic està fora de línia per a la investigació. Servidor des del qual es van distribuir les versions actuals
Pale Moon no es veu afectat, el problema només afecta les versions antigues de Windows instal·lades des de l'arxiu (les versions es mouen a l'arxiu a mesura que es publiquen noves versions). Durant el pirateig, el servidor executava Windows i funcionava en una màquina virtual llogada a l'operador Frantech/BuyVM. Encara no està clar quin tipus de vulnerabilitat es va explotar i si era específica de Windows o va afectar algunes aplicacions de servidor de tercers en execució.
Després d'obtenir accés, els atacants van infectar selectivament tots els fitxers exe associats a Pale Moon (instal·ladors i arxius autoextractius) amb programari troià. , amb l'objectiu de robar criptomoneda substituint adreces de bitcoins al porta-retalls. Els fitxers executables dins dels arxius zip no es veuen afectats. L'usuari pot haver detectat canvis a l'instal·lador comprovant les signatures digitals o els hash SHA256 adjunts als fitxers. El programari maliciós utilitzat també té èxit antivirus més actuals.
El 26 de maig de 2019, durant l'activitat al servidor d'atacants (no està clar si aquests eren els mateixos atacants que en el primer pirateig o d'altres), el funcionament normal d'archive.palemoon.org es va interrompre: l'amfitrió no va poder per reiniciar i les dades s'han danyat. Això va incloure la pèrdua de registres del sistema, que podrien haver inclòs rastres més detallats que indiquessin la naturalesa de l'atac. En el moment d'aquesta fallada, els administradors no eren conscients del compromís i van restaurar l'arxiu en funcionament mitjançant un nou entorn basat en CentOS i substituint les descàrregues FTP per HTTP. Com que l'incident no es va notar, els fitxers de la còpia de seguretat que ja estaven infectats es van transferir al nou servidor.
Analitzant les possibles raons del compromís, se suposa que els atacants van obtenir accés endevinant la contrasenya del compte del personal d'allotjament, obtenint accés físic directe al servidor, atacant l'hipervisor per obtenir el control d'altres màquines virtuals, piratejar el tauler de control web. , interceptant una sessió d'escriptori remot (es va utilitzar el protocol RDP) o aprofitant una vulnerabilitat a Windows Server. Les accions malicioses es van dur a terme localment al servidor mitjançant un script per fer canvis als fitxers executables existents, en lloc de tornar-los a baixar des de l'exterior.
L'autor del projecte afirma que només ell tenia accés d'administrador al sistema, l'accés estava limitat a una adreça IP i el sistema operatiu Windows subjacent es va actualitzar i protegir d'atacs externs. Al mateix temps, es van utilitzar protocols RDP i FTP per a l'accés remot i es va llançar programari potencialment insegur a la màquina virtual, que podria provocar pirateria. No obstant això, l'autor de Pale Moon s'inclina a creure que el pirateig es va cometre a causa d'una protecció insuficient de la infraestructura de màquines virtuals del proveïdor (per exemple, alhora, mitjançant la selecció d'una contrasenya de proveïdor insegura mitjançant la interfície estàndard de gestió de virtualització). lloc web OpenSSL).
Font: opennet.ru