Auteur du navigateur Pale Moon
Le serveur problématique est actuellement hors ligne pour enquête. Serveur à partir duquel les versions actuelles ont été distribuées
Pale Moon n'est pas affecté, le problème affecte uniquement les anciennes versions de Windows installées à partir de l'archive (les versions sont déplacées vers l'archive au fur et à mesure que de nouvelles versions sont publiées). Lors du hack, le serveur tournait sous Windows et tournait dans une machine virtuelle louée auprès de l'opérateur Frantech/BuyVM. On ne sait pas encore clairement quel type de vulnérabilité a été exploité et si elle était spécifique à Windows ou affectait certaines applications serveur tierces en cours d'exécution.
Après avoir obtenu l'accès, les attaquants ont infecté de manière sélective tous les fichiers exe associés à Pale Moon (installateurs et archives auto-extractibles) avec un logiciel cheval de Troie.
Le 26 mai 2019, lors de l'activité des attaquants sur le serveur (on ne sait pas s'il s'agissait des mêmes attaquants que lors du premier piratage ou d'autres), le fonctionnement normal d'archive.palemoon.org a été perturbé - l'hébergeur n'a pas pu pour redémarrer et les données ont été endommagées. Cela incluait la perte des journaux système, qui auraient pu inclure des traces plus détaillées indiquant la nature de l'attaque. Au moment de cet échec, les administrateurs n'étaient pas au courant de la compromission et ont restauré l'archive en utilisant un nouvel environnement basé sur CentOS et en remplaçant les téléchargements FTP par HTTP. L'incident n'ayant pas été remarqué, les fichiers de la sauvegarde déjà infectés ont été transférés vers le nouveau serveur.
En analysant les raisons possibles de la compromission, on suppose que les attaquants ont obtenu l'accès en devinant le mot de passe du compte du personnel d'hébergement, en obtenant un accès physique direct au serveur, en attaquant l'hyperviseur pour prendre le contrôle d'autres machines virtuelles, en piratant le panneau de contrôle Web. , en interceptant une session de bureau à distance (le protocole RDP a été utilisé) ou en exploitant une vulnérabilité de Windows Server. Les actions malveillantes ont été réalisées localement sur le serveur à l'aide d'un script permettant d'apporter des modifications aux fichiers exécutables existants, plutôt qu'en les retéléchargeant de l'extérieur.
L'auteur du projet affirme que lui seul disposait d'un accès administrateur au système, que l'accès était limité à une seule adresse IP et que le système d'exploitation Windows sous-jacent était mis à jour et protégé contre les attaques externes. Dans le même temps, les protocoles RDP et FTP ont été utilisés pour l'accès à distance et des logiciels potentiellement dangereux ont été lancés sur la machine virtuelle, ce qui pourrait provoquer un piratage. Cependant, l'auteur de Pale Moon est enclin à croire que le piratage a été commis en raison d'une protection insuffisante de l'infrastructure de la machine virtuelle du fournisseur (par exemple, à un moment donné, en sélectionnant un mot de passe de fournisseur non sécurisé à l'aide de l'interface de gestion de virtualisation standard.
Source: opennet.ru