Penulis browser Pale Moon informasi tentang penyusupan server archive.palemoon.org, yang menyimpan arsip rilis browser sebelumnya hingga dan termasuk versi 27.6.2. Selama peretasan, penyerang menginfeksi semua file yang dapat dieksekusi dengan penginstal Pale Moon untuk Windows yang terletak di server dengan malware. Berdasarkan data awal, substitusi malware dilakukan pada 27 Desember 2017, dan baru terdeteksi pada 9 Juli 2019 yakni. tetap luput dari perhatian selama satu setengah tahun.
Server yang bermasalah saat ini sedang offline untuk diselidiki. Server tempat rilis terkini didistribusikan
Pale Moon tidak terpengaruh, masalahnya hanya mempengaruhi versi Windows lama yang diinstal dari arsip (rilis dipindahkan ke arsip saat versi baru dirilis). Selama peretasan, server menjalankan Windows dan berjalan di mesin virtual yang disewa dari operator Frantech/BuyVM. Belum jelas jenis kerentanan apa yang dieksploitasi dan apakah kerentanan tersebut khusus untuk Windows atau memengaruhi beberapa aplikasi server pihak ketiga yang sedang berjalan.
Setelah mendapatkan akses, penyerang secara selektif menginfeksi semua file exe yang terkait dengan Pale Moon (penginstal dan arsip self-extracting) dengan perangkat lunak Trojan , bertujuan untuk mencuri mata uang kripto dengan mengganti alamat bitcoin di clipboard. File yang dapat dieksekusi di dalam arsip zip tidak terpengaruh. Perubahan pada penginstal mungkin telah terdeteksi oleh pengguna dengan memeriksa tanda tangan digital atau hash SHA256 yang dilampirkan pada file. Malware yang digunakan juga berhasil antivirus terkini.
Pada tanggal 26 Mei 2019, selama aktivitas di server penyerang (tidak jelas apakah ini adalah penyerang yang sama seperti pada peretasan pertama atau lainnya), operasi normal archive.palemoon.org terganggu - host tidak dapat untuk reboot, dan datanya rusak. Hal ini termasuk hilangnya log sistem, yang mungkin mencakup jejak lebih rinci yang menunjukkan sifat serangan. Pada saat kegagalan ini terjadi, administrator tidak menyadari adanya kompromi dan memulihkan arsip agar berfungsi menggunakan lingkungan baru berbasis CentOS dan mengganti unduhan FTP dengan HTTP. Karena kejadian tersebut tidak diketahui, file dari cadangan yang sudah terinfeksi dipindahkan ke server baru.
Menganalisis kemungkinan alasan kompromi, diasumsikan bahwa penyerang memperoleh akses dengan menebak kata sandi akun staf hosting, mendapatkan akses fisik langsung ke server, menyerang hypervisor untuk mendapatkan kendali atas mesin virtual lainnya, meretas panel kontrol web , mencegat sesi desktop jarak jauh (protokol RDP digunakan) atau dengan mengeksploitasi kerentanan di Windows Server. Tindakan jahat tersebut dilakukan secara lokal di server menggunakan skrip untuk membuat perubahan pada file executable yang ada, bukan dengan mengunduh ulang dari luar.
Penulis proyek mengklaim bahwa hanya dia yang memiliki akses administrator ke sistem, akses dibatasi pada satu alamat IP, dan OS Windows yang mendasarinya telah diperbarui dan dilindungi dari serangan eksternal. Pada saat yang sama, protokol RDP dan FTP digunakan untuk akses jarak jauh, dan perangkat lunak yang berpotensi tidak aman diluncurkan pada mesin virtual, yang dapat menyebabkan peretasan. Namun, penulis Pale Moon cenderung percaya bahwa peretasan tersebut dilakukan karena kurangnya perlindungan terhadap infrastruktur mesin virtual penyedia (misalnya, pada suatu waktu, melalui pemilihan kata sandi penyedia yang tidak aman menggunakan antarmuka manajemen virtualisasi standar situs web OpenSSL).
Sumber: opennet.ru