Autor del navegador Pale Moon
El servidor problemático está actualmente fuera de línea para ser investigado. Servidor desde el que se distribuyeron las versiones actuales
Pale Moon no se ve afectado, el problema sólo afecta a las versiones antiguas de Windows instaladas desde el archivo (las versiones se mueven al archivo a medida que se lanzan nuevas versiones). Durante el hackeo, el servidor ejecutaba Windows y se ejecutaba en una máquina virtual alquilada al operador Frantech/BuyVM. Aún no está claro qué tipo de vulnerabilidad fue explotada y si era específica de Windows o afectó a algunas aplicaciones de servidor de terceros en ejecución.
Después de obtener acceso, los atacantes infectaron selectivamente todos los archivos exe asociados con Pale Moon (instaladores y archivos autoextraíbles) con software troyano.
El 26 de mayo de 2019, durante la actividad de los atacantes en el servidor (no está claro si eran los mismos atacantes que en el primer ataque u otros), se interrumpió el funcionamiento normal de archive.palemoon.org: el host no pudo para reiniciar y los datos se dañaron. Esto incluyó la pérdida de registros del sistema, que podrían haber incluido rastros más detallados que indicaran la naturaleza del ataque. En el momento de esta falla, los administradores no estaban al tanto del compromiso y restauraron el archivo para que funcionara utilizando un nuevo entorno basado en CentOS y reemplazando las descargas FTP con HTTP. Como no se detectó el incidente, los archivos de la copia de seguridad que ya estaban infectados se transfirieron al nuevo servidor.
Al analizar las posibles razones del compromiso, se supone que los atacantes obtuvieron acceso adivinando la contraseña de la cuenta del personal de hosting, obteniendo acceso físico directo al servidor, atacando el hipervisor para obtener control sobre otras máquinas virtuales, pirateando el panel de control web. , interceptando una sesión de acceso remoto al escritorio (se utilizó el protocolo RDP) o explotando una vulnerabilidad en Windows Server. Las acciones maliciosas se llevaron a cabo localmente en el servidor utilizando un script para realizar cambios en los archivos ejecutables existentes, en lugar de volver a descargarlos externamente.
El autor del proyecto afirma que solo él tenía acceso de administrador al sistema, que el acceso estaba limitado a una dirección IP y que el sistema operativo Windows subyacente estaba actualizado y protegido contra ataques externos. Al mismo tiempo, se utilizaron los protocolos RDP y FTP para el acceso remoto y se lanzó software potencialmente inseguro en la máquina virtual, lo que podría provocar piratería. Sin embargo, el autor de Pale Moon se inclina a creer que el hack se cometió debido a una protección insuficiente de la infraestructura de la máquina virtual del proveedor (por ejemplo, en un momento dado, mediante la selección de una contraseña de proveedor insegura utilizando la interfaz estándar de gestión de virtualización).
Fuente: opennet.ru