Autor prohlížeče Pale Moon informace o kompromitaci serveru archive.palemoon.org, který ukládal archiv předchozích verzí prohlížeče až do verze 27.6.2 včetně. Během hacku útočníci infikovali malwarem všechny spustitelné soubory s instalačními programy Pale Moon pro Windows hostovanými na serveru. Podle předběžných údajů byla záměna malwaru spáchána 27. prosince 2017 a zjištěna byla až 9. července 2019, tzn. zůstal bez povšimnutí rok a půl.
Problémový server je momentálně mimo provoz kvůli vyšetřování. Server, ze kterého byly distribuovány aktuální verze
Pale Moon není ovlivněn, ovlivněny jsou pouze staré verze Windows nainstalované z archivu (vydání se přesouvají do archivu, když jsou vydávány nové verze). V době hacku na serveru běžel Windows a běžel na virtuálním stroji pronajatém od Frantech/BuyVM. Jaký druh zranitelnosti byl zneužit a zda je specifická pro Windows nebo ovlivňuje některé spuštěné serverové aplikace třetích stran, není zatím jasné.
Po získání přístupu útočníci selektivně infikovali všechny exe soubory související s Pale Moon (instalační programy a samorozbalovací archivy) trojskými koňmi. , zaměřené na krádež kryptoměny prostřednictvím záměny bitcoinových adres ve schránce. Spustitelné soubory v archivech zip nejsou ovlivněny. Změny v instalačním programu mohl uživatel zjistit kontrolou digitálních podpisů nebo hash SHA256 připojených k souborům. Úspěšný je i použitý malware nejmodernější antiviry.
26. května 2019 během aktivity útočníků na serveru (není jasné, že se jedná o stejné útočníky jako při prvním hacku nebo jiných) byl narušen běžný provoz archive.palemoon.org - hostitel se nepodařilo restartovat a data byla poškozena. Byly ztraceny včetně systémových protokolů, které by mohly obsahovat podrobnější stopy indikující povahu útoku. V době tohoto selhání si administrátoři nebyli vědomi kompromitace a obnovili archiv pomocí nového prostředí založeného na CentOS a nahrazení FTP uploadu HTTP. Protože incident nebyl zaznamenán, soubory ze záložní kopie, které již byly infikovány, byly přeneseny na nový server.
Při analýze možných příčin kompromitace se předpokládá, že útočníci získali přístup uhodnutím hesla k účtu hostujícího personálu, získali přímý fyzický přístup k serveru, zaútočili na hypervizora, aby získali kontrolu nad ostatními virtuálními stroji, hackli webový ovládací panel, zachycení relace vzdálené plochy (pomocí protokolu RDP) nebo zneužití zranitelnosti systému Windows Server. Škodlivé akce byly provedeny lokálně na serveru pomocí skriptu k provedení změn ve stávajících spustitelných souborech, nikoli jejich opětovným stažením zvenčí.
Autor projektu tvrdí, že administrátorský přístup do systému měl pouze on, přístup byl omezen na jednu IP adresu a základní OS Windows byl aktualizován a chráněn před vnějšími útoky. Zároveň se pro vzdálený přístup používaly protokoly RDP a FTP a na virtuálním stroji se spouštěl potenciálně nebezpečný software, který mohl způsobit hackování. Autor Pale Moon se však přiklání k verzi, že hack byl spáchán z důvodu nedostatečné ochrany infrastruktury virtuálních strojů u poskytovatele (např. jeden čas prostřednictvím výběru nespolehlivého hesla poskytovatele pomocí standardního rozhraní pro správu virtualizace web OpenSSL).
Zdroj: opennet.ru