Συγγραφέας του προγράμματος περιήγησης Pale Moon πληροφορίες σχετικά με τον παραβιασμό του διακομιστή archive.palemoon.org, ο οποίος αποθήκευε ένα αρχείο προηγούμενων εκδόσεων του προγράμματος περιήγησης έως και την έκδοση 27.6.2. Κατά τη διάρκεια της εισβολής, οι εισβολείς μόλυναν όλα τα εκτελέσιμα αρχεία με προγράμματα εγκατάστασης Pale Moon για Windows που βρίσκονται στον διακομιστή με κακόβουλο λογισμικό. Σύμφωνα με προκαταρκτικά στοιχεία, η αντικατάσταση κακόβουλου λογισμικού πραγματοποιήθηκε στις 27 Δεκεμβρίου 2017 και εντοπίστηκε μόλις στις 9 Ιουλίου 2019, δηλ. παρέμεινε απαρατήρητη για ενάμιση χρόνο.
Ο προβληματικός διακομιστής είναι προς το παρόν εκτός σύνδεσης για διερεύνηση. Διακομιστής από τον οποίο διανεμήθηκαν οι τρέχουσες εκδόσεις
Το Pale Moon δεν επηρεάζεται, το πρόβλημα επηρεάζει μόνο παλιές εκδόσεις των Windows που είναι εγκατεστημένες από το αρχείο (οι κυκλοφορίες μετακινούνται στο αρχείο καθώς κυκλοφορούν νέες εκδόσεις). Κατά τη διάρκεια της εισβολής, ο διακομιστής εκτελούσε Windows και λειτουργούσε σε μια εικονική μηχανή που νοικιάστηκε από τον χειριστή Frantech/BuyVM. Δεν είναι ακόμη σαφές τι είδους ευπάθεια έγινε αντικείμενο εκμετάλλευσης και εάν αφορούσε συγκεκριμένα τα Windows ή εάν επηρέαζε ορισμένες εφαρμογές διακομιστή τρίτων κατασκευαστών.
Αφού απέκτησαν πρόσβαση, οι εισβολείς μόλυναν επιλεκτικά όλα τα αρχεία exe που σχετίζονται με το Pale Moon (εγκαταστάτες και αρχεία αυτοεξαγωγής) με λογισμικό Trojan , με στόχο την κλοπή κρυπτονομισμάτων αντικαθιστώντας τις διευθύνσεις bitcoin στο πρόχειρο. Τα εκτελέσιμα αρχεία μέσα σε αρχεία zip δεν επηρεάζονται. Οι αλλαγές στο πρόγραμμα εγκατάστασης ενδέχεται να έχουν εντοπιστεί από τον χρήστη ελέγχοντας τις ψηφιακές υπογραφές ή τους κατακερματισμούς SHA256 που είναι συνδεδεμένοι στα αρχεία. Το κακόβουλο λογισμικό που χρησιμοποιείται είναι επίσης επιτυχημένο τα περισσότερα τρέχοντα antivirus.
Στις 26 Μαΐου 2019, κατά τη διάρκεια της δραστηριότητας στον διακομιστή των εισβολέων (δεν είναι σαφές εάν αυτοί ήταν οι ίδιοι εισβολείς όπως στο πρώτο hack ή άλλοι), η κανονική λειτουργία του archive.palemoon.org διακόπηκε - ο οικοδεσπότης δεν μπόρεσε για επανεκκίνηση και τα δεδομένα ήταν κατεστραμμένα. Αυτό περιελάμβανε την απώλεια αρχείων καταγραφής συστήματος, τα οποία θα μπορούσαν να περιλαμβάνουν πιο λεπτομερή ίχνη που υποδεικνύουν τη φύση της επίθεσης. Τη στιγμή αυτής της αποτυχίας, οι διαχειριστές δεν γνώριζαν τον συμβιβασμό και επανέφεραν το αρχείο σε λειτουργία χρησιμοποιώντας ένα νέο περιβάλλον που βασίζεται στο CentOS και αντικαθιστώντας τις λήψεις FTP με HTTP. Επειδή το περιστατικό δεν έγινε αντιληπτό, τα αρχεία από το αντίγραφο ασφαλείας που είχαν ήδη μολυνθεί μεταφέρθηκαν στον νέο διακομιστή.
Αναλύοντας τους πιθανούς λόγους για τον συμβιβασμό, υποτίθεται ότι οι επιτιθέμενοι απέκτησαν πρόσβαση μαντεύοντας τον κωδικό πρόσβασης στον λογαριασμό του προσωπικού φιλοξενίας, αποκτώντας άμεση φυσική πρόσβαση στον διακομιστή, επιτίθενται στον hypervisor για να αποκτήσουν έλεγχο σε άλλες εικονικές μηχανές, παραβιάζοντας τον πίνακα ελέγχου ιστού , παρεμπόδιση μιας περιόδου λειτουργίας απομακρυσμένης επιφάνειας εργασίας (χρησιμοποιήθηκε πρωτόκολλο RDP) ή με εκμετάλλευση μιας ευπάθειας στον Windows Server. Οι κακόβουλες ενέργειες πραγματοποιήθηκαν τοπικά στον διακομιστή χρησιμοποιώντας ένα σενάριο για την πραγματοποίηση αλλαγών σε υπάρχοντα εκτελέσιμα αρχεία, αντί να τα κατεβάσετε ξανά από έξω.
Ο συγγραφέας του έργου ισχυρίζεται ότι μόνο αυτός είχε πρόσβαση διαχειριστή στο σύστημα, η πρόσβαση περιοριζόταν σε μία διεύθυνση IP και το υποκείμενο λειτουργικό σύστημα των Windows ενημερώθηκε και προστατεύτηκε από εξωτερικές επιθέσεις. Ταυτόχρονα, τα πρωτόκολλα RDP και FTP χρησιμοποιήθηκαν για απομακρυσμένη πρόσβαση και κυκλοφόρησε δυνητικά μη ασφαλές λογισμικό στην εικονική μηχανή, το οποίο θα μπορούσε να προκαλέσει hacking. Ωστόσο, ο συγγραφέας του Pale Moon τείνει να πιστεύει ότι η παραβίαση διαπράχθηκε λόγω ανεπαρκούς προστασίας της υποδομής εικονικής μηχανής του παρόχου (για παράδειγμα, κάποτε, μέσω της επιλογής ενός μη ασφαλούς κωδικού πρόσβασης παρόχου χρησιμοποιώντας την τυπική διεπαφή διαχείρισης εικονικοποίησης Ιστότοπος OpenSSL).
Πηγή: opennet.ru