Skriuwer fan de Pale Moon-blêder ynformaasje oer it kompromis fan 'e archive.palemoon.org-tsjinner, dy't in argyf opslein hat fan eardere browserferzjes oant en mei ferzje 27.6.2. Tidens de hack ynfekteare de oanfallers alle útfierbere bestannen mei Pale Moon-ynstallearders foar Windows dy't op 'e server lizze mei malware. Neffens foarriedige gegevens waard de ferfanging fan malware útfierd op 27 desimber 2017, en waard allinich op 9 july 2019 ûntdutsen, d.w.s. bleau in jier en in heal ûngemurken.
De problematyske tsjinner is op it stuit offline foar ûndersyk. Tsjinner wêrfan aktuele releases waarden ferspraat
Pale Moon wurdt net beynfloede, it probleem hat allinich ynfloed op âlde Windows-ferzjes dy't binne ynstalleare út it argyf (ferzjes wurde ferpleatst nei it argyf as nije ferzjes wurde frijlitten). Tidens de hack draaide de server Windows en draaide yn in firtuele masine ferhierd fan de operator Frantech/BuyVM. It is noch net dúdlik hokker soarte fan kwetsberens waard eksploitearre en oft it spesifyk wie foar Windows of beynfloede guon rinnende tsjinnerapplikaasjes fan tredden.
Nei it krijen fan tagong, ynfekteare de oanfallers selektyf alle exe-bestannen ferbûn mei Pale Moon (ynstallearders en sels-útpakke argiven) mei Trojan-software , rjochte op it stellen fan cryptocurrency troch it ferfangen fan bitcoin-adressen op it klamboerd. Utfierbere bestannen yn zip-argiven wurde net beynfloede. Feroarings oan it ynstallearder kinne troch de brûker ûntdutsen wurde troch de digitale hantekeningen of SHA256-hashes te kontrolearjen oan 'e bestannen. De brûkte malware is ek suksesfol meast aktuele antiviruses.
Op 26 maaie 2019, tidens de aktiviteit op 'e tsjinner fan oanfallers (it is net dúdlik oft dit deselde oanfallers wiene as yn' e earste hack of oaren), waard de normale wurking fan archive.palemoon.org fersteurd - de host koe net om te herstarten, en de gegevens waarden skansearre. Dit omfette it ferlies fan systeemlogboeken, dy't mear detaillearre spoaren kinne hawwe opnommen dy't de aard fan 'e oanfal oanjaan. Op it stuit fan dizze mislearring wiene administrators net bewust fan it kompromis en restaurearren it argyf nei operaasje mei in nije CentOS-basearre omjouwing en ferfangen fan FTP-downloads mei HTTP. Om't it ynsidint net opmurken waard, waarden bestannen fan 'e reservekopy dy't al ynfekteare wiene oerbrocht nei de nije tsjinner.
It analysearjen fan de mooglike redenen foar it kompromis, wurdt oannommen dat de oanfallers tagong krigen troch it wachtwurd fan it hostingpersonielsaccount te rieden, direkte fysike tagong ta de server te krijen, de hypervisor oan te fallen om kontrôle oer oare firtuele masines te krijen, it webkontrôlepaniel te hacken , it ûnderskeppen fan in buroblêd sesje op ôfstân (RDP-protokol waard brûkt) of troch it eksploitearjen fan in kwetsberens yn Windows Server. De kweade aksjes waarden lokaal op de tsjinner útfierd mei in skript om wizigingen oan te bringen oan besteande útfierbere bestannen, ynstee fan troch se fan bûten op 'e nij te downloaden.
De skriuwer fan it projekt beweart dat allinnich hy hie administrator tagong ta it systeem, tagong wie beheind ta ien IP-adres, en de ûnderlizzende Windows OS waard bywurke en beskerme tsjin eksterne oanfallen. Tagelyk waarden RDP- en FTP-protokollen brûkt foar tagong op ôfstân, en potinsjeel ûnfeilige software waard lansearre op 'e firtuele masine, dy't hacking feroarsaakje koe. De skriuwer fan Pale Moon is lykwols oanstriid om te leauwen dat de hack waard begien troch ûnfoldwaande beskerming fan 'e firtuele masine-ynfrastruktuer fan' e provider (bygelyks op ien kear troch de seleksje fan in ûnfeilich providerwachtwurd mei de standert virtualisaasjebehearynterface OpenSSL webside).
Boarne: opennet.ru