Autor do navegador Pale Moon
O servidor problemático está actualmente fóra de liña para investigación. Servidor desde o que se distribuíron as versións actuais
Pale Moon non se ve afectado, o problema só afecta ás versións antigas de Windows instaladas desde o arquivo (as versións móvense ao arquivo a medida que se publican novas versións). Durante o corte, o servidor estaba executando Windows e estaba a executarse nunha máquina virtual alugada ao operador Frantech/BuyVM. Aínda non está claro que tipo de vulnerabilidade se explotou e se foi específica de Windows ou afectou a algunhas aplicacións de servidor de terceiros en execución.
Despois de ter acceso, os atacantes infectaron selectivamente todos os ficheiros exe asociados con Pale Moon (instaladores e arquivos autoextraíbles) con software troiano.
O 26 de maio de 2019, durante a actividade no servidor de atacantes (non está claro se estes foron os mesmos atacantes que no primeiro hack ou outros), o funcionamento normal de archive.palemoon.org foi interrompido: o servidor non puido para reiniciar e os datos danáronse. Isto incluíu a perda de rexistros do sistema, que poderían incluír trazos máis detallados que indican a natureza do ataque. No momento deste fallo, os administradores descoñecían o compromiso e restauraron o arquivo ao funcionamento utilizando un novo ambiente baseado en CentOS e substituíndo as descargas FTP por HTTP. Dado que o incidente non foi detectado, os ficheiros da copia de seguridade que xa estaban infectados foron transferidos ao novo servidor.
Analizando as posibles razóns do compromiso, suponse que os atacantes accederon adiviñando o contrasinal da conta do persoal de hospedaxe, accedendo directamente ao servidor, atacando o hipervisor para controlar outras máquinas virtuais, piratear o panel de control web. , interceptando unha sesión de acceso remoto ao escritorio (usouse o protocolo RDP) ou explotando unha vulnerabilidade en Windows Server. As accións maliciosas realizáronse localmente no servidor mediante un script para facer cambios nos ficheiros executables existentes, en lugar de volver descargalos externamente.
O autor do proxecto afirma que só el tiña acceso de administrador ao sistema, o acceso estaba limitado a un enderezo IP e o sistema operativo Windows subxacente actualizouse e protexíase de ataques externos. Ao mesmo tempo, utilizáronse protocolos RDP e FTP para o acceso remoto, e lanzouse na máquina virtual un software potencialmente inseguro, que podería provocar piratería. Non obstante, o autor de Pale Moon inclínase a crer que o pirateo se cometeu debido a unha protección insuficiente da infraestrutura da máquina virtual do provedor (por exemplo, nun momento, a través da selección dun contrasinal de provedor inseguro mediante a interface estándar de xestión de virtualización).
Fonte: opennet.ru