Awtor sa Pale Moon browser impormasyon mahitungod sa pagkompromiso sa archive.palemoon.org server, nga nagtipig sa archive sa nangaging mga pagpagawas sa browser hangtod sa bersyon 27.6.2 lakip na. Atol sa hack, ang mga tig-atake nataptan sa malware sa tanan nga mga executable file nga adunay mga installer sa Pale Moon alang sa Windows nga gi-host sa server. Sumala sa pasiuna nga datos, ang pagpuli sa malware nahimo kaniadtong Disyembre 27, 2017, ug nakit-an lamang kaniadtong Hulyo 9, 2019, i.e. wala mamatikdi sulod sa usa ka tuig ug tunga.
Ang problema server sa pagkakaron wala na alang sa imbestigasyon. Server diin giapod-apod ang mga karon nga pagpagawas
Ang Pale Moon wala maapektuhan, ang mga daan nga bersyon sa Windows nga na-install gikan sa archive lamang ang apektado (ang mga pagpagawas gibalhin sa archive samtang ang mga bag-ong bersyon gipagawas). Sa panahon sa hack, ang server nagdagan sa Windows ug nagdagan sa usa ka virtual nga makina nga giabangan gikan sa Frantech/BuyVM. Unsa nga matang sa kahuyang ang gipahimuslan ug kung kini ba espesipiko sa Windows o naapektuhan ang pipila nga nagdagan nga third-party nga mga aplikasyon sa server dili pa klaro.
Human maka-access, gipili sa mga tig-atake ang tanang exe file nga may kalabutan sa Pale Moon (mga installer ug self-extracting archive) gamit ang Trojans , nga gitumong sa pagpangawat sa cryptocurrency pinaagi sa pag-ilis sa mga adres sa bitcoin sa clipboard. Ang mga executable nga file sa sulod sa zip archive dili maapektuhan. Ang mga pagbag-o sa installer mahimo nga nakit-an sa tiggamit pinaagi sa pagsusi sa mga digital nga pirma o SHA256 hash nga gilakip sa mga file. Ang malware nga gigamit malampuson usab labing bag-o nga mga antivirus.
Kaniadtong Mayo 26, 2019, sa panahon sa kalihokan sa server sa mga tig-atake (dili klaro nga kini parehas nga mga tig-atake sama sa una nga pag-hack o uban pa), ang normal nga operasyon sa archive.palemoon.org nabalda - ang host dili maka-reboot. , ug ang datos nadaot. Lakip ang mga log sa sistema nawala, nga mahimong maglakip sa mas detalyado nga mga pagsubay nga nagpakita sa kinaiya sa pag-atake. Sa panahon niini nga kapakyasan, ang mga tigdumala wala mahibalo sa kompromiso ug gipahiuli ang archive gamit ang bag-ong palibot base sa CentOS ug gipulihan ang FTP upload sa HTTP. Tungod kay wala mamatikdi ang insidente, ang mga file gikan sa backup nga kopya nga nataptan na gibalhin ngadto sa bag-ong server.
Ang pag-analisar sa posible nga mga hinungdan sa pagkompromiso, gituohan nga ang mga tig-atake nakakuha og access pinaagi sa pagtag-an sa password sa hosting staff account, pag-angkon og direktang pisikal nga pag-access sa server, pag-atake sa hypervisor aron makontrol ang ubang mga virtual machine, pag-hack sa web control panel, pag-intercept sa remote desktop session (gamit ang RDP protocol) o pinaagi sa pagpahimulos sa kahuyang sa Windows Server. Ang mga malisyoso nga aksyon gihimo sa lokal nga server gamit ang usa ka script aron makahimo mga pagbag-o sa mga naa na nga ma-executable nga mga file, ug dili pinaagi sa pag-download pag-usab niini gikan sa gawas.
Ang tagsulat sa proyekto nag-angkon nga siya lamang ang adunay access sa administrador sa sistema, ang pag-access limitado sa usa ka IP address, ug ang nagpahiping Windows OS gi-update ug gipanalipdan gikan sa mga pag-atake sa gawas. Sa samang higayon, ang mga protocol sa RDP ug FTP gigamit alang sa hilit nga pag-access, ug ang posibleng dili luwas nga software gilunsad sa virtual machine, nga mahimong hinungdan sa pag-hack. Bisan pa, ang tagsulat sa Pale Moon hilig sa bersyon nga gihimo ang hack tungod sa dili igo nga proteksyon sa imprastraktura sa virtual machine sa provider (pananglitan, sa usa ka higayon pinaagi sa pagpili sa usa ka dili kasaligan nga password sa provider gamit ang standard nga interface sa pagdumala sa virtualization. OpenSSL site).
Source: opennet.ru