Pale Moon -selaimen kirjoittaja tiedot archive.palemoon.org-palvelimen kompromissista, joka tallensi arkiston aiemmista selainjulkaisuista versioon 27.6.2 asti. Hakkeroinnin aikana hyökkääjät tartuttivat kaikki suoritettavat tiedostot palvelimella olevilla Pale Moon -asennusohjelmilla haittaohjelmilla. Ennakkotietojen mukaan haittaohjelmien korvaaminen tehtiin 27 ja havaittiin vasta 2017, ts. jäi huomaamatta puolitoista vuotta.
Ongelmallinen palvelin on tällä hetkellä offline-tilassa tutkintaa varten. Palvelin, josta nykyiset julkaisut jaettiin
Pale Moon ei vaikuta, ongelma koskee vain vanhoja arkistosta asennettuja Windows-versioita (julkaisut siirretään arkistoon sitä mukaa, kun uusia versioita julkaistaan). Hakkeroinnin aikana palvelimella oli Windows ja se toimi virtuaalikoneessa, joka oli vuokrattu operaattorilta Frantech/BuyVM. Vielä ei ole selvää, millaista haavoittuvuutta hyödynnettiin ja oliko se Windows-kohtainen vai vaikuttiko se joihinkin käynnissä oleviin kolmannen osapuolen palvelinsovelluksiin.
Saavuttuaan pääsyn hyökkääjät tartuttivat valikoivasti kaikki Pale Mooniin liittyvät exe-tiedostot (asennusohjelmat ja itsepurkautuvat arkistot) troijalaisohjelmistolla. , jonka tarkoituksena on varastaa kryptovaluutta korvaamalla bitcoin-osoitteita leikepöydällä. Tämä ei vaikuta zip-arkistojen sisällä suoritettaviin tiedostoihin. Käyttäjä on saattanut havaita asennusohjelman muutokset tarkistamalla tiedostoihin liitetyt digitaaliset allekirjoitukset tai SHA256-tiivisteet. Käytetty haittaohjelma on myös onnistunut uusimmat virustorjuntaohjelmat.
26. toukokuuta 2019 hyökkääjien palvelimella tapahtuneen toiminnan aikana (ei ole selvää, olivatko nämä samat hyökkääjät kuin ensimmäisessä hakkeroinnissa vai muut), archive.palemoon.org-sivuston normaali toiminta häiriintyi - isäntä ei voinut uudelleenkäynnistystä varten, ja tiedot ovat vaurioituneet. Tämä sisälsi järjestelmälokien katoamisen, joka olisi voinut sisältää tarkempia jälkiä hyökkäyksen luonteesta. Tämän epäonnistumisen aikaan järjestelmänvalvojat eivät olleet tietoisia kompromissista ja palauttivat arkiston toimintaan käyttämällä uutta CentOS-pohjaista ympäristöä ja korvaamalla FTP-lataukset HTTP:llä. Koska tapausta ei havaittu, varmuuskopiosta jo tartunnan saaneet tiedostot siirrettiin uudelle palvelimelle.
Kompromissin mahdollisia syitä analysoimalla oletetaan, että hyökkääjät pääsivät arvaamalla isännöintihenkilöstön tilin salasana, saamalla suoran fyysisen pääsyn palvelimelle, hyökkäämällä hypervisoriin saadakseen hallintaansa muita virtuaalikoneita, hakkeroimalla verkon ohjauspaneelin , kaappaamalla etätyöpöytäistunnon (käytettiin RDP-protokollaa) tai käyttämällä hyväkseen Windows Serverin haavoittuvuutta. Haitalliset toiminnot suoritettiin paikallisesti palvelimella käyttämällä komentosarjaa, jolla tehtiin muutoksia olemassa oleviin suoritettaviin tiedostoihin sen sijaan, että ne olisi ladattu uudelleen ulkopuolelta.
Projektin kirjoittaja väittää, että vain hänellä oli järjestelmänvalvojan käyttöoikeus, pääsy oli rajoitettu yhteen IP-osoitteeseen ja taustalla oleva Windows-käyttöjärjestelmä päivitettiin ja suojattiin ulkoisilta hyökkäyksiltä. Samaan aikaan etäkäyttöön käytettiin RDP- ja FTP-protokollia, ja virtuaalikoneeseen käynnistettiin mahdollisesti vaarallisia ohjelmistoja, jotka voivat aiheuttaa hakkerointia. Pale Moonin kirjoittaja on kuitenkin taipuvainen uskomaan, että hakkerointi johtui palveluntarjoajan virtuaalikoneinfrastruktuurin riittämättömästä suojauksesta (esimerkiksi kerralla, kun valittiin turvaton palveluntarjoajan salasana tavallisella virtualisoinnin hallintaliittymällä OpenSSL-verkkosivusto).
Lähde: opennet.ru