Autor des Pale Moon-Browsers Informationen über die Kompromittierung des Servers archive.palemoon.org, auf dem ein Archiv früherer Browserversionen bis einschließlich Version 27.6.2 gespeichert war. Während des Hacks infizierten die Angreifer alle auf dem Server gehosteten ausführbaren Dateien mit Pale Moon-Installationsprogrammen für Windows mit Malware. Nach vorläufigen Angaben erfolgte die Schadsoftware-Ersetzung am 27. Dezember 2017 und wurde erst am 9. Juli 2019 entdeckt, d. h. blieb anderthalb Jahre lang unbemerkt.
Der problematische Server ist derzeit zur Untersuchung offline. Server, von dem aktuelle Releases verteilt wurden
Pale Moon ist nicht betroffen, das Problem betrifft nur alte Windows-Versionen, die aus dem Archiv installiert wurden (Versionen werden in das Archiv verschoben, wenn neue Versionen veröffentlicht werden). Während des Hacks lief der Server unter Windows und lief in einer virtuellen Maschine, die vom Betreiber Frantech/BuyVM gemietet wurde. Es ist noch nicht klar, welche Art von Sicherheitslücke ausgenutzt wurde und ob sie spezifisch für Windows war oder einige laufende Serveranwendungen von Drittanbietern betraf.
Nachdem sie sich Zugriff verschafft hatten, infizierten die Angreifer selektiv alle mit Pale Moon verbundenen Exe-Dateien (Installationsprogramme und selbstextrahierende Archive) mit Trojaner-Software , mit dem Ziel, Kryptowährungen zu stehlen, indem Bitcoin-Adressen in der Zwischenablage ersetzt werden. Ausführbare Dateien in ZIP-Archiven sind nicht betroffen. Änderungen am Installationsprogramm wurden möglicherweise vom Benutzer durch Überprüfen der an die Dateien angehängten digitalen Signaturen oder SHA256-Hashes erkannt. Auch die eingesetzte Schadsoftware ist erfolgreich Die meisten aktuellen Antivirenprogramme.
Am 26. Mai 2019 wurde während der Aktivität von Angreifern auf dem Server (es ist nicht klar, ob es sich um dieselben Angreifer wie beim ersten Hack oder andere handelte) der normale Betrieb von archive.palemoon.org gestört – der Host war außer Betrieb musste neu gestartet werden und die Daten wurden beschädigt. Dazu gehörte der Verlust von Systemprotokollen, die detailliertere Spuren hätten enthalten können, die auf die Art des Angriffs hinweisen. Zum Zeitpunkt dieses Fehlers waren sich die Administratoren der Kompromittierung nicht bewusst und stellten das Archiv mithilfe einer neuen CentOS-basierten Umgebung wieder in Betrieb und ersetzten FTP-Downloads durch HTTP. Da der Vorfall nicht bemerkt wurde, wurden bereits infizierte Dateien aus dem Backup auf den neuen Server übertragen.
Bei der Analyse der möglichen Gründe für die Kompromittierung geht man davon aus, dass sich die Angreifer Zugang verschafft haben, indem sie das Passwort für das Hosting-Mitarbeiterkonto erraten haben, sich direkten physischen Zugriff auf den Server verschafft haben, den Hypervisor angegriffen haben, um die Kontrolle über andere virtuelle Maschinen zu erlangen, und das Web-Kontrollfeld gehackt haben , Abfangen einer Remote-Desktop-Sitzung (RDP-Protokoll wurde verwendet) oder durch Ausnutzen einer Schwachstelle in Windows Server. Die bösartigen Aktionen wurden lokal auf dem Server ausgeführt, indem ein Skript verwendet wurde, um Änderungen an vorhandenen ausführbaren Dateien vorzunehmen, anstatt sie von außen erneut herunterzuladen.
Der Autor des Projekts behauptet, dass nur er Administratorzugriff auf das System hatte, der Zugriff auf eine IP-Adresse beschränkt war und das zugrunde liegende Windows-Betriebssystem aktualisiert und vor externen Angriffen geschützt wurde. Gleichzeitig wurden RDP- und FTP-Protokolle für den Fernzugriff verwendet und potenziell unsichere Software auf der virtuellen Maschine gestartet, die zu Hackerangriffen führen konnte. Der Autor von Pale Moon neigt jedoch dazu zu glauben, dass der Hack aufgrund eines unzureichenden Schutzes der virtuellen Maschineninfrastruktur des Anbieters begangen wurde (z. B. einst durch die Auswahl eines unsicheren Anbieterkennworts über die Standardschnittstelle zur Virtualisierungsverwaltung). OpenSSL-Website).
Source: opennet.ru