A Pale Moon böngésző szerzője információk az archive.palemoon.org szerver kompromittálásával kapcsolatban, amely a korábbi böngészőkiadások archívumát tárolta a 27.6.2-es verzióig. A feltörés során a támadók a szerveren található Pale Moon Windows-telepítőkkel minden végrehajtható fájlt rosszindulatú programokkal fertőztek meg. Az előzetes adatok szerint a kártevő pótlására 27. december 2017-én került sor, és csak 9. július 2019-én észlelték, i. másfél évig észrevétlen maradt.
A problémás szerver jelenleg offline állapotban van vizsgálat céljából. Szerver, amelyről az aktuális kiadásokat terjesztették
A Pale Moon nem érinti, a probléma csak az archívumból telepített régi Windows-verziókat érinti (a kiadások az archívumba kerülnek az új verziók megjelenésekor). A feltörés során a szerveren Windows futott, és a Frantech/BuyVM üzemeltetőtől bérelt virtuális gépen futott. Egyelőre nem világos, hogy milyen sérülékenységet használtak ki, és hogy ez a Windows-ra jellemző, vagy érintett-e néhány futó, harmadik féltől származó szerveralkalmazást.
A hozzáférés megszerzése után a támadók szelektíven megfertőzték a Pale Moonhoz kapcsolódó összes exe fájlt (telepítők és önkicsomagoló archívumok) trójai szoftverrel. , amelynek célja a kriptovaluta ellopása a bitcoin címek vágólapon történő lecserélésével. A zip-archívumokban lévő végrehajtható fájlokat ez nem érinti. Előfordulhat, hogy a felhasználó észlelte a telepítő változásait a fájlokhoz csatolt digitális aláírások vagy SHA256 hashek ellenőrzésével. A használt kártevő is sikeres a legtöbb aktuális vírusirtó.
26. május 2019-án a támadók szerverén végzett tevékenység során (nem világos, hogy ugyanazok a támadók voltak-e, mint az első feltörésnél, vagy mások) az archive.palemoon.org normál működése megszakadt - a gazdagép nem tudott újraindítani, és az adatok megsérültek. Ez magában foglalta a rendszernaplók elvesztését, amelyek tartalmazhattak volna részletesebb nyomokat is, amelyek jelezték a támadás természetét. A hiba idején a rendszergazdák nem tudtak a kompromisszumról, és visszaállították az archívumot egy új CentOS-alapú környezettel, és az FTP-letöltéseket HTTP-re cserélték. Mivel az incidenst nem vették észre, a biztonsági másolatból már fertőzött fájlok átkerültek az új szerverre.
A kompromisszum lehetséges okait elemezve feltételezhető, hogy a támadók úgy jutottak hozzá, hogy kitalálták a jelszavát a fogadó személyzet fiókjához, közvetlen fizikai hozzáférést nyertek a szerverhez, megtámadták a hypervisort, hogy megszerezzék az irányítást más virtuális gépek felett, feltörték a webes vezérlőpultot. , távoli asztali munkamenet elfogása (RDP protokollt használt), vagy a Windows Server biztonsági résének kihasználása. A rosszindulatú műveleteket helyileg, a szerveren hajtották végre egy parancsfájl segítségével a meglévő végrehajtható fájlok módosítására, ahelyett, hogy azokat kívülről töltötték volna le.
A projekt szerzője azt állítja, hogy csak neki volt adminisztrátori hozzáférése a rendszerhez, a hozzáférést egy IP-címre korlátozták, a mögöttes Windows operációs rendszert pedig frissítették és védték a külső támadásoktól. Ezzel párhuzamosan RDP és FTP protokollokat használtak a távoli eléréshez, és a virtuális gépen potenciálisan nem biztonságos szoftverek indultak, amelyek feltörést okozhatnak. A Pale Moon szerzője azonban hajlamos azt hinni, hogy a feltörést a szolgáltató virtuálisgép-infrastruktúrájának elégtelen védelme miatt követték el (például egy időben egy nem biztonságos szolgáltatói jelszó kiválasztásával a szabványos virtualizációkezelő felület segítségével OpenSSL webhely).
Forrás: opennet.ru