Autore del browser Pale Moon
Il server problematico è attualmente offline per indagini. Server da cui sono state distribuite le versioni correnti
Pale Moon non è interessato, il problema riguarda solo le vecchie versioni di Windows installate dall'archivio (le versioni vengono spostate nell'archivio man mano che vengono rilasciate nuove versioni). Durante l'hacking il server utilizzava Windows ed era in esecuzione su una macchina virtuale noleggiata dall'operatore Frantech/BuyVM. Non è ancora chiaro quale tipo di vulnerabilità sia stata sfruttata e se fosse specifica di Windows o interessasse alcune applicazioni server di terze parti in esecuzione.
Dopo aver ottenuto l'accesso, gli aggressori hanno infettato selettivamente tutti i file exe associati a Pale Moon (programmi di installazione e archivi autoestraenti) con software Trojan
Il 26 maggio 2019, durante l'attività sul server degli aggressori (non è chiaro se si trattasse degli stessi aggressori del primo hack o di altri), il normale funzionamento di archive.palemoon.org è stato interrotto - l'host non è stato in grado per riavviare e i dati sono stati danneggiati. Ciò includeva la perdita dei registri di sistema, che avrebbero potuto includere tracce più dettagliate indicanti la natura dell’attacco. Al momento di questo errore, gli amministratori non erano a conoscenza della compromissione e hanno ripristinato il funzionamento dell'archivio utilizzando un nuovo ambiente basato su CentOS e sostituendo i download FTP con HTTP. Poiché l'incidente non è stato notato, i file del backup già infetti sono stati trasferiti sul nuovo server.
Analizzando le possibili ragioni della compromissione, si presume che gli aggressori siano riusciti ad accedere indovinando la password dell'account dello staff di hosting, ottenendo l'accesso fisico diretto al server, attaccando l'hypervisor per ottenere il controllo su altre macchine virtuali, hackerando il pannello di controllo web , intercettando una sessione di desktop remoto (è stato utilizzato il protocollo RDP) o sfruttando una vulnerabilità in Windows Server. Le azioni dannose sono state eseguite localmente sul server utilizzando uno script per apportare modifiche ai file eseguibili esistenti, anziché scaricarli nuovamente dall'esterno.
L'autore del progetto afferma che solo lui aveva accesso come amministratore al sistema, l'accesso era limitato a un indirizzo IP e il sistema operativo Windows sottostante era aggiornato e protetto da attacchi esterni. Allo stesso tempo, per l'accesso remoto venivano utilizzati i protocolli RDP e FTP e sulla macchina virtuale veniva lanciato software potenzialmente pericoloso che poteva causare attacchi di hacker. Tuttavia, l'autore di Pale Moon è propenso a credere che l'hacking sia stato commesso a causa della protezione insufficiente dell'infrastruttura della macchina virtuale del provider (ad esempio, un tempo, attraverso la selezione di una password non sicura del provider utilizzando l'interfaccia standard di gestione della virtualizzazione
Fonte: opennet.ru