Autore del browser Pale Moon informazioni sulla compromissione del server archive.palemoon.org, che memorizzava un archivio delle versioni precedenti del browser fino alla versione 27.6.2 inclusa. Durante l'hacking gli aggressori hanno infettato con malware tutti i file eseguibili con i programmi di installazione Pale Moon per Windows che si trovavano sul server. Secondo i dati preliminari, la sostituzione del malware è avvenuta il 27 dicembre 2017 ed è stata rilevata solo il 9 luglio 2019, vale a dire rimase inosservato per un anno e mezzo.
Il server problematico è attualmente offline per indagini. Server da cui sono state distribuite le versioni correnti
Pale Moon non è interessato, il problema riguarda solo le vecchie versioni di Windows installate dall'archivio (le versioni vengono spostate nell'archivio man mano che vengono rilasciate nuove versioni). Durante l'hacking il server utilizzava Windows ed era in esecuzione su una macchina virtuale noleggiata dall'operatore Frantech/BuyVM. Non è ancora chiaro quale tipo di vulnerabilità sia stata sfruttata e se fosse specifica di Windows o interessasse alcune applicazioni server di terze parti in esecuzione.
Dopo aver ottenuto l'accesso, gli aggressori hanno infettato selettivamente tutti i file exe associati a Pale Moon (programmi di installazione e archivi autoestraenti) con software Trojan , mirato a rubare criptovaluta sostituendo gli indirizzi bitcoin negli appunti. I file eseguibili all'interno degli archivi zip non sono interessati. Le modifiche al programma di installazione potrebbero essere state rilevate dall'utente controllando le firme digitali o gli hash SHA256 allegati ai file. Anche il malware utilizzato ha successo gli antivirus più attuali.
Il 26 maggio 2019, durante l'attività sul server degli aggressori (non è chiaro se si trattasse degli stessi aggressori del primo hack o di altri), il normale funzionamento di archive.palemoon.org è stato interrotto - l'host non è stato in grado per riavviare e i dati sono stati danneggiati. Ciò includeva la perdita dei registri di sistema, che avrebbero potuto includere tracce più dettagliate indicanti la natura dell’attacco. Al momento di questo errore, gli amministratori non erano a conoscenza della compromissione e hanno ripristinato il funzionamento dell'archivio utilizzando un nuovo ambiente basato su CentOS e sostituendo i download FTP con HTTP. Poiché l'incidente non è stato notato, i file del backup già infetti sono stati trasferiti sul nuovo server.
Analizzando le possibili ragioni della compromissione, si presume che gli aggressori siano riusciti ad accedere indovinando la password dell'account dello staff di hosting, ottenendo l'accesso fisico diretto al server, attaccando l'hypervisor per ottenere il controllo su altre macchine virtuali, hackerando il pannello di controllo web , intercettando una sessione di desktop remoto (è stato utilizzato il protocollo RDP) o sfruttando una vulnerabilità in Windows Server. Le azioni dannose sono state eseguite localmente sul server utilizzando uno script per apportare modifiche ai file eseguibili esistenti, anziché scaricarli nuovamente dall'esterno.
L'autore del progetto afferma che solo lui aveva accesso come amministratore al sistema, l'accesso era limitato a un indirizzo IP e il sistema operativo Windows sottostante era aggiornato e protetto da attacchi esterni. Allo stesso tempo, per l'accesso remoto venivano utilizzati i protocolli RDP e FTP e sulla macchina virtuale veniva lanciato software potenzialmente pericoloso che poteva causare attacchi di hacker. Tuttavia, l'autore di Pale Moon è propenso a credere che l'hacking sia stato commesso a causa della protezione insufficiente dell'infrastruttura della macchina virtuale del provider (ad esempio, un tempo, attraverso la selezione di una password non sicura del provider utilizzando l'interfaccia standard di gestione della virtualizzazione sito Web OpenSSL).
Fonte: opennet.ru