Auteur du navigateur Pale Moon des informations sur la compromission du serveur archive.palemoon.org, qui stockait une archive des versions antérieures du navigateur jusqu'à la version 27.6.2 incluse. Lors du piratage, les attaquants ont infecté tous les fichiers exécutables avec les programmes d'installation de Pale Moon pour Windows situés sur le serveur avec des logiciels malveillants. Selon les données préliminaires, le remplacement du malware a été effectué le 27 décembre 2017 et n'a été détecté que le 9 juillet 2019, soit est resté inaperçu pendant un an et demi.
Le serveur problématique est actuellement hors ligne pour enquête. Serveur à partir duquel les versions actuelles ont été distribuées
Pale Moon n'est pas affecté, le problème affecte uniquement les anciennes versions de Windows installées à partir de l'archive (les versions sont déplacées vers l'archive au fur et à mesure que de nouvelles versions sont publiées). Lors du hack, le serveur tournait sous Windows et tournait dans une machine virtuelle louée auprès de l'opérateur Frantech/BuyVM. On ne sait pas encore clairement quel type de vulnérabilité a été exploité et si elle était spécifique à Windows ou affectait certaines applications serveur tierces en cours d'exécution.
Après avoir obtenu l'accès, les attaquants ont infecté de manière sélective tous les fichiers exe associés à Pale Moon (installateurs et archives auto-extractibles) avec un logiciel cheval de Troie. , visant à voler des crypto-monnaies en remplaçant les adresses Bitcoin dans le presse-papiers. Les fichiers exécutables dans les archives zip ne sont pas affectés. Les modifications apportées au programme d'installation peuvent avoir été détectées par l'utilisateur en vérifiant les signatures numériques ou les hachages SHA256 attachés aux fichiers. Le malware utilisé est également efficace antivirus les plus récents.
Le 26 mai 2019, lors de l'activité des attaquants sur le serveur (on ne sait pas s'il s'agissait des mêmes attaquants que lors du premier piratage ou d'autres), le fonctionnement normal d'archive.palemoon.org a été perturbé - l'hébergeur n'a pas pu pour redémarrer et les données ont été endommagées. Cela incluait la perte des journaux système, qui auraient pu inclure des traces plus détaillées indiquant la nature de l'attaque. Au moment de cet échec, les administrateurs n'étaient pas au courant de la compromission et ont restauré l'archive en utilisant un nouvel environnement basé sur CentOS et en remplaçant les téléchargements FTP par HTTP. L'incident n'ayant pas été remarqué, les fichiers de la sauvegarde déjà infectés ont été transférés vers le nouveau serveur.
En analysant les raisons possibles de la compromission, on suppose que les attaquants ont obtenu l'accès en devinant le mot de passe du compte du personnel d'hébergement, en obtenant un accès physique direct au serveur, en attaquant l'hyperviseur pour prendre le contrôle d'autres machines virtuelles, en piratant le panneau de contrôle Web. , en interceptant une session de bureau à distance (le protocole RDP a été utilisé) ou en exploitant une vulnérabilité de Windows Server. Les actions malveillantes ont été réalisées localement sur le serveur à l'aide d'un script permettant d'apporter des modifications aux fichiers exécutables existants, plutôt qu'en les retéléchargeant de l'extérieur.
L'auteur du projet affirme que lui seul disposait d'un accès administrateur au système, que l'accès était limité à une seule adresse IP et que le système d'exploitation Windows sous-jacent était mis à jour et protégé contre les attaques externes. Dans le même temps, les protocoles RDP et FTP ont été utilisés pour l'accès à distance et des logiciels potentiellement dangereux ont été lancés sur la machine virtuelle, ce qui pourrait provoquer un piratage. Cependant, l'auteur de Pale Moon est enclin à croire que le piratage a été commis en raison d'une protection insuffisante de l'infrastructure de la machine virtuelle du fournisseur (par exemple, à un moment donné, en sélectionnant un mot de passe de fournisseur non sécurisé à l'aide de l'interface de gestion de virtualisation standard. Site Web OpenSSL).
Source: opennet.ru