Auteur du navigateur Pale Moon infurmazione nantu à u cumprumissu di u servitore archive.palemoon.org, chì hà guardatu l'archiviu di e versioni passate di u navigatore finu à a versione 27.6.2 inclusa. Durante u pirate, l'attaccanti anu infettatu cù malware tutti i fugliali eseguibili cù installatori Pale Moon per Windows ospitu in u servitore. Sicondu i dati preliminari, a sustituzione di malware hè stata fatta u 27 di dicembre di u 2017, è hè stata rilevata solu u 9 di lugliu di u 2019, i.e. passò inosservatu per un annu è mezu.
U servitore di u prublema hè attualmente chjusu per investigazione. Servitore da quale e versioni attuali sò state distribuite
Pale Moon ùn hè micca affettatu, solu i vechji versioni di Windows installati da l'archiviu sò affettati (i rilasci sò spustati in l'archiviu cum'è novi versioni sò liberati). À l'ora di u pirate, u servitore era in esecuzione Windows è era in esecuzione in una macchina virtuale affittata da Frantech/BuyVM. Qualessu tipu di vulnerabilità hè stata sfruttata è s'ellu hè specificu à Windows o affettatu alcune applicazioni di servitori di terzu in esecuzione ùn hè micca chjaru.
Dopu avè acquistatu l'accessu, l'attaccanti anu infettatu selettivamente tutti i fugliali exe di Pale Moon (installatori è archivi autoestraenti) cù Trojans. , destinatu à robba criptu di munita per via di a sustituzione di l'indirizzi bitcoin in u clipboard. I fugliali eseguibili in l'archivi zip ùn sò micca affettati. I cambiamenti in l'installatore pò esse stati rilevati da l'utilizatore cuntrollandu e firme digitali o SHA256 hashes attaccati à i schedari. U malware utilizatu hè ancu successu antivirus più attuali.
U 26 di maghju di u 2019, durante l'attività nantu à u servitore di l'attaccanti (ùn hè micca chjaru questi sò i stessi attaccanti cum'è durante u primu pirate o altri), l'operazione normale di archive.palemoon.org hè stata interrotta - l'ospitu ùn pudia riavvià. , è i dati sò stati currutti. Includendu i logs di u sistema sò stati persi, chì puderanu include tracce più detallate chì indicanu a natura di l'attaccu. À u mumentu di stu fallimentu, l'amministratori ùn anu micca cunnisciutu u cumprumissu è restauratu l'archiviu utilizendu un novu ambiente basatu in CentOS è rimpiazzà FTP upload with HTTP. Siccomu l'incidentu ùn hè statu nutatu, i schedari da a copia di salvezza chì eranu digià infettati sò stati trasferiti à u novu servitore.
Analizendu e pussibuli cause di cumprumissu, si assume chì l'attaccanti hà acquistatu l'accessu indovinendu a password à u cuntu di u staffu di l'ospiti, accede à l'accessu fisicu direttu à u servitore, attaccà l'ipervisore per guadagnà u cuntrollu di altre macchine virtuali, pirate u pannellu di cuntrollu web, intercepting the remote desktop session (using the RDP protocol) o sfruttendu una vulnerabilità in Windows Server. L'azzioni maliziusi sò stati realizati in u locu nantu à u servitore utilizendu un script per fà cambiamenti à i fugliali eseguibili esistenti, è micca re-scaricatu da fora.
L'autore di u prugettu dichjara chì solu ellu avia accessu amministratore à u sistema, l'accessu era limitatu à un indirizzu IP, è u SO Windows sottostante hè stata aghjurnata è prutetta da attacchi esterni. À u listessu tempu, i protokolli RDP è FTP sò stati utilizati per l'accessu remotu, è un software potenzialmente inseguru hè statu lanciatu nantu à a macchina virtuale, chì puderia causà pirate. In ogni casu, l'autore di Pale Moon hè inclinatu à a versione chì u pirate hè statu fattu per una prutezzione insufficiente di l'infrastruttura di a macchina virtuale à u fornitore (per esempiu, à un tempu attraversu a selezzione di una password di u fornitore inaffidabile cù l'interfaccia standard di gestione di virtualizazione). situ OpenSSL).
Source: opennet.ru