Autor del navegador Pale Moon información sobre el compromiso del servidor archive.palemoon.org, que almacenaba un archivo de versiones anteriores del navegador hasta la versión 27.6.2 incluida. Durante el hack, los atacantes infectaron con malware todos los archivos ejecutables con instaladores de Pale Moon para Windows ubicados en el servidor. Según datos preliminares, la sustitución del malware se llevó a cabo el 27 de diciembre de 2017 y no se detectó hasta el 9 de julio de 2019, es decir. Pasó desapercibido durante un año y medio.
El servidor problemático está actualmente fuera de línea para ser investigado. Servidor desde el que se distribuyeron las versiones actuales
Pale Moon no se ve afectado, el problema sólo afecta a las versiones antiguas de Windows instaladas desde el archivo (las versiones se mueven al archivo a medida que se lanzan nuevas versiones). Durante el hackeo, el servidor ejecutaba Windows y se ejecutaba en una máquina virtual alquilada al operador Frantech/BuyVM. Aún no está claro qué tipo de vulnerabilidad fue explotada y si era específica de Windows o afectó a algunas aplicaciones de servidor de terceros en ejecución.
Después de obtener acceso, los atacantes infectaron selectivamente todos los archivos exe asociados con Pale Moon (instaladores y archivos autoextraíbles) con software troyano. , destinado a robar criptomonedas reemplazando direcciones de bitcoin en el portapapeles. Los archivos ejecutables dentro de archivos zip no se ven afectados. Es posible que el usuario haya detectado cambios en el instalador al verificar las firmas digitales o los hashes SHA256 adjuntos a los archivos. El malware utilizado también tiene éxito antivirus más actuales.
El 26 de mayo de 2019, durante la actividad de los atacantes en el servidor (no está claro si eran los mismos atacantes que en el primer ataque u otros), se interrumpió el funcionamiento normal de archive.palemoon.org: el host no pudo para reiniciar y los datos se dañaron. Esto incluyó la pérdida de registros del sistema, que podrían haber incluido rastros más detallados que indicaran la naturaleza del ataque. En el momento de esta falla, los administradores no estaban al tanto del compromiso y restauraron el archivo para que funcionara utilizando un nuevo entorno basado en CentOS y reemplazando las descargas FTP con HTTP. Como no se detectó el incidente, los archivos de la copia de seguridad que ya estaban infectados se transfirieron al nuevo servidor.
Al analizar las posibles razones del compromiso, se supone que los atacantes obtuvieron acceso adivinando la contraseña de la cuenta del personal de hosting, obteniendo acceso físico directo al servidor, atacando el hipervisor para obtener control sobre otras máquinas virtuales, pirateando el panel de control web. , interceptando una sesión de acceso remoto al escritorio (se utilizó el protocolo RDP) o explotando una vulnerabilidad en Windows Server. Las acciones maliciosas se llevaron a cabo localmente en el servidor utilizando un script para realizar cambios en los archivos ejecutables existentes, en lugar de volver a descargarlos externamente.
El autor del proyecto afirma que solo él tenía acceso de administrador al sistema, que el acceso estaba limitado a una dirección IP y que el sistema operativo Windows subyacente estaba actualizado y protegido contra ataques externos. Al mismo tiempo, se utilizaron los protocolos RDP y FTP para el acceso remoto y se lanzó software potencialmente inseguro en la máquina virtual, lo que podría provocar piratería. Sin embargo, el autor de Pale Moon se inclina a creer que el hack se cometió debido a una protección insuficiente de la infraestructura de la máquina virtual del proveedor (por ejemplo, en un momento dado, mediante la selección de una contraseña de proveedor insegura utilizando la interfaz estándar de gestión de virtualización). sitio web OpenSSL).
Fuente: opennet.ru