Autor do navegador Pale Moon información sobre o compromiso do servidor archive.palemoon.org, que almacenaba un arquivo de versións anteriores do navegador ata a versión 27.6.2 incluída. Durante o pirateo, os atacantes infectaron con malware todos os ficheiros executables con instaladores Pale Moon para Windows situados no servidor. Segundo os datos preliminares, a substitución de malware realizouse o 27 de decembro de 2017, e só se detectou o 9 de xullo de 2019, é dicir. pasou ano e medio desapercibido.
O servidor problemático está actualmente fóra de liña para investigación. Servidor desde o que se distribuíron as versións actuais
Pale Moon non se ve afectado, o problema só afecta ás versións antigas de Windows instaladas desde o arquivo (as versións móvense ao arquivo a medida que se publican novas versións). Durante o corte, o servidor estaba executando Windows e estaba a executarse nunha máquina virtual alugada ao operador Frantech/BuyVM. Aínda non está claro que tipo de vulnerabilidade se explotou e se foi específica de Windows ou afectou a algunhas aplicacións de servidor de terceiros en execución.
Despois de ter acceso, os atacantes infectaron selectivamente todos os ficheiros exe asociados con Pale Moon (instaladores e arquivos autoextraíbles) con software troiano. , destinado a roubar moeda criptográfica substituíndo enderezos de bitcoins no portapapeis. Os ficheiros executables dentro dos arquivos zip non se ven afectados. O usuario puido detectar cambios no instalador ao comprobar as sinaturas dixitais ou os hash SHA256 adxuntos aos ficheiros. O malware utilizado tamén ten éxito antivirus máis actuais.
O 26 de maio de 2019, durante a actividade no servidor de atacantes (non está claro se estes foron os mesmos atacantes que no primeiro hack ou outros), o funcionamento normal de archive.palemoon.org foi interrompido: o servidor non puido para reiniciar e os datos danáronse. Isto incluíu a perda de rexistros do sistema, que poderían incluír trazos máis detallados que indican a natureza do ataque. No momento deste fallo, os administradores descoñecían o compromiso e restauraron o arquivo ao funcionamento utilizando un novo ambiente baseado en CentOS e substituíndo as descargas FTP por HTTP. Dado que o incidente non foi detectado, os ficheiros da copia de seguridade que xa estaban infectados foron transferidos ao novo servidor.
Analizando as posibles razóns do compromiso, suponse que os atacantes accederon adiviñando o contrasinal da conta do persoal de hospedaxe, accedendo directamente ao servidor, atacando o hipervisor para controlar outras máquinas virtuais, piratear o panel de control web. , interceptando unha sesión de acceso remoto ao escritorio (usouse o protocolo RDP) ou explotando unha vulnerabilidade en Windows Server. As accións maliciosas realizáronse localmente no servidor mediante un script para facer cambios nos ficheiros executables existentes, en lugar de volver descargalos externamente.
O autor do proxecto afirma que só el tiña acceso de administrador ao sistema, o acceso estaba limitado a un enderezo IP e o sistema operativo Windows subxacente actualizouse e protexíase de ataques externos. Ao mesmo tempo, utilizáronse protocolos RDP e FTP para o acceso remoto, e lanzouse na máquina virtual un software potencialmente inseguro, que podería provocar piratería. Non obstante, o autor de Pale Moon inclínase a crer que o pirateo se cometeu debido a unha protección insuficiente da infraestrutura da máquina virtual do provedor (por exemplo, nun momento, a través da selección dun contrasinal de provedor inseguro mediante a interface estándar de xestión de virtualización). sitio web de OpenSSL).
Fonte: opennet.ru