Forfatter til Pale Moon-browseren oplysninger om kompromitteringen af archive.palemoon.org-serveren, som lagrede et arkiv med tidligere browserudgivelser til og med version 27.6.2. Under hacket inficerede angriberne alle eksekverbare filer med Pale Moon-installationsprogrammer til Windows placeret på serveren med malware. Ifølge foreløbige data blev erstatningen af malware udført den 27. december 2017 og blev først opdaget den 9. juli 2019, dvs. forblev ubemærket i halvandet år.
Den problematiske server er i øjeblikket offline til undersøgelse. Server, hvorfra aktuelle udgivelser blev distribueret
Pale Moon er ikke påvirket, problemet påvirker kun gamle Windows-versioner installeret fra arkivet (udgivelser flyttes til arkivet, efterhånden som nye versioner frigives). Under hacket kørte serveren Windows og kørte i en virtuel maskine lejet af operatøren Frantech/BuyVM. Det er endnu ikke klart, hvilken slags sårbarhed der blev udnyttet, og om den var specifik for Windows eller påvirkede nogle kørende tredjepartsserverapplikationer.
Efter at have fået adgang inficerede angriberne selektivt alle exe-filer forbundet med Pale Moon (installatører og selvudpakkende arkiver) med trojansk software , der har til formål at stjæle kryptovaluta ved at erstatte bitcoin-adresser på udklipsholderen. Eksekverbare filer i zip-arkiver påvirkes ikke. Ændringer til installationsprogrammet kan være blevet opdaget af brugeren ved at kontrollere de digitale signaturer eller SHA256-hashes, der er knyttet til filerne. Den anvendte malware er også vellykket mest aktuelle antivirus.
Den 26. maj 2019, under aktiviteten på angribernes server (det er ikke klart, om disse var de samme angribere som i det første hack eller andre), blev den normale drift af archive.palemoon.org forstyrret - værten var ude af stand til at genstarte, og dataene blev beskadiget. Dette omfattede tab af systemlogfiler, som kunne have inkluderet mere detaljerede spor, der angiver angrebets art. På tidspunktet for denne fejl var administratorer uvidende om kompromiset og gendannede arkivet til drift ved hjælp af et nyt CentOS-baseret miljø og erstattede FTP-downloads med HTTP. Da hændelsen ikke blev bemærket, blev filer fra sikkerhedskopien, der allerede var inficeret, overført til den nye server.
Ved at analysere de mulige årsager til kompromiset antages det, at angriberne fik adgang ved at gætte adgangskoden til hostingpersonalets konto, få direkte fysisk adgang til serveren, angribe hypervisoren for at få kontrol over andre virtuelle maskiner, hacke webkontrolpanelet , opsnappe en ekstern skrivebordssession (RDP-protokol blev brugt) eller ved at udnytte en sårbarhed i Windows Server. De ondsindede handlinger blev udført lokalt på serveren ved hjælp af et script til at foretage ændringer i eksisterende eksekverbare filer, snarere end ved at gendownloade dem udefra.
Forfatteren af projektet hævder, at kun han havde administratoradgang til systemet, adgang var begrænset til én IP-adresse, og det underliggende Windows OS blev opdateret og beskyttet mod eksterne angreb. Samtidig blev RDP- og FTP-protokoller brugt til fjernadgang, og potentielt usikker software blev lanceret på den virtuelle maskine, som kunne forårsage hacking. Forfatteren af Pale Moon er dog tilbøjelig til at tro, at hacket blev begået på grund af utilstrækkelig beskyttelse af udbyderens virtuelle maskine-infrastruktur (for eksempel på én gang gennem valget af en usikker udbyderadgangskode ved hjælp af standard virtualiseringsstyringsgrænsefladen OpenSSL hjemmeside).
Kilde: opennet.ru