Auteur du navigateur Pale Moon
U servitore di u prublema hè attualmente chjusu per investigazione. Servitore da quale e versioni attuali sò state distribuite
Pale Moon ùn hè micca affettatu, solu i vechji versioni di Windows installati da l'archiviu sò affettati (i rilasci sò spustati in l'archiviu cum'è novi versioni sò liberati). À l'ora di u pirate, u servitore era in esecuzione Windows è era in esecuzione in una macchina virtuale affittata da Frantech/BuyVM. Qualessu tipu di vulnerabilità hè stata sfruttata è s'ellu hè specificu à Windows o affettatu alcune applicazioni di servitori di terzu in esecuzione ùn hè micca chjaru.
Dopu avè acquistatu l'accessu, l'attaccanti anu infettatu selettivamente tutti i fugliali exe di Pale Moon (installatori è archivi autoestraenti) cù Trojans.
U 26 di maghju di u 2019, durante l'attività nantu à u servitore di l'attaccanti (ùn hè micca chjaru questi sò i stessi attaccanti cum'è durante u primu pirate o altri), l'operazione normale di archive.palemoon.org hè stata interrotta - l'ospitu ùn pudia riavvià. , è i dati sò stati currutti. Includendu i logs di u sistema sò stati persi, chì puderanu include tracce più detallate chì indicanu a natura di l'attaccu. À u mumentu di stu fallimentu, l'amministratori ùn anu micca cunnisciutu u cumprumissu è restauratu l'archiviu utilizendu un novu ambiente basatu in CentOS è rimpiazzà FTP upload with HTTP. Siccomu l'incidentu ùn hè statu nutatu, i schedari da a copia di salvezza chì eranu digià infettati sò stati trasferiti à u novu servitore.
Analizendu e pussibuli cause di cumprumissu, si assume chì l'attaccanti hà acquistatu l'accessu indovinendu a password à u cuntu di u staffu di l'ospiti, accede à l'accessu fisicu direttu à u servitore, attaccà l'ipervisore per guadagnà u cuntrollu di altre macchine virtuali, pirate u pannellu di cuntrollu web, intercepting the remote desktop session (using the RDP protocol) o sfruttendu una vulnerabilità in Windows Server. L'azzioni maliziusi sò stati realizati in u locu nantu à u servitore utilizendu un script per fà cambiamenti à i fugliali eseguibili esistenti, è micca re-scaricatu da fora.
L'autore di u prugettu dichjara chì solu ellu avia accessu amministratore à u sistema, l'accessu era limitatu à un indirizzu IP, è u SO Windows sottostante hè stata aghjurnata è prutetta da attacchi esterni. À u listessu tempu, i protokolli RDP è FTP sò stati utilizati per l'accessu remotu, è un software potenzialmente inseguru hè statu lanciatu nantu à a macchina virtuale, chì puderia causà pirate. In ogni casu, l'autore di Pale Moon hè inclinatu à a versione chì u pirate hè statu fattu per una prutezzione insufficiente di l'infrastruttura di a macchina virtuale à u fornitore (per esempiu, à un tempu attraversu a selezzione di una password di u fornitore inaffidabile cù l'interfaccia standard di gestione di virtualizazione).
Source: opennet.ru