Auteur vum Pale Moon Browser Informatiounen iwwer de Kompromëss vum archive.palemoon.org Server, deen en Archiv vu vergaangene Browser-Releases bis an d'Versioun 27.6.2 gespäichert huet. Wärend dem Hack hunn d'Ugräifer all ausführbar Dateie mat Pale Moon Installateure fir Windows infizéiert op de Server mat Malware. No virleefeg Donnéeën ass d'Substitutioun vu Malware de 27. Dezember 2017 duerchgefouert a gouf eréischt den 9. Juli 2019 festgestallt, d.h. bliwwen fir annerhallef Joer onopfälleg.
De problematesche Server ass momentan offline fir Enquête. Server aus deem aktuell Verëffentlechungen verdeelt goufen
Pale Moon ass net beaflosst, de Problem beaflosst nëmmen al Windows Versiounen aus dem Archiv installéiert (Verëffentlechungen ginn an d'Archiv geréckelt wéi nei Versioune verëffentlecht ginn). Wärend dem Hack huet de Server Windows lafen a war an enger virtueller Maschinn gelount vum Bedreiwer Frantech/BuyVM. Et ass nach net kloer wéi eng Schwachstelle exploitéiert gouf an ob et spezifesch fir Windows war oder e puer Drëtt-Partei Server Uwendungen beaflosst.
Nom Zougrëff hunn d'Attacker selektiv all exe-Dateien, déi mam Pale Moon verbonne sinn (Installateuren a selbstextraktéierend Archiven) mat Trojan Software infizéiert , zielt fir d'Krypto-Währung ze klauen andeems d'Bitcoin Adressen op der Clipboard ersat ginn. Ausféierbar Dateien an Zip-Archive sinn net beaflosst. Ännerungen am Installateur kënne vum Benotzer festgestallt ginn andeems Dir d'digitale Ënnerschrëften oder SHA256 Hashes iwwerpréift, déi un d'Dateien verbonne sinn. D'Malware benotzt ass och erfollegräich déi meescht aktuell Antivirusen.
De 26. Mee 2019, wärend der Aktivitéit um Server vun den Ugräifer (et ass net kloer ob dës déiselwecht Ugräifer waren wéi am éischten Hack oder anerer), gouf déi normal Operatioun vun archive.palemoon.org gestéiert - de Host konnt net fir nei ze starten, an d'Donnéeën goufen beschiedegt. Dëst beinhalt de Verloscht vu Systemprotokoller, déi méi detailléiert Spueren enthalen hätten, déi d'Natur vum Attack uginn. Zu der Zäit vun dësem Echec waren d'Administrateuren net bewosst iwwer de Kompromiss an hunn d'Archiv op Operatioun restauréiert mat engem neien CentOS-baséiert Ëmfeld an ersetzen FTP Downloads mat HTTP. Well den Tëschefall net gemierkt gouf, goufen Dateien aus dem Backup, déi scho infizéiert waren, op den neie Server transferéiert.
Analyséiere vun de méigleche Grënn fir de Kompromiss, et gëtt ugeholl datt d'Ugräifer Zougang kruten andeems se d'Passwuert op de Hosting Personal Account roden, direkten physeschen Zougang zum Server kréien, den Hypervisor attackéieren fir Kontroll iwwer aner virtuell Maschinnen ze kréien, d'Webkontrollpanel ze hacken , Offangen vun enger Remote Desktop Sessioun (RDP Protokoll gouf benotzt) oder duerch Ausnotzen vun enger Schwachstelle am Windows Server. Déi béiswëlleg Handlunge goufen lokal um Server duerchgefouert mat engem Skript fir Ännerungen un existente ausführbar Dateien ze maachen, anstatt andeems se se vu baussen nei eroflueden.
Den Auteur vum Projet behaapt datt nëmmen hien den Administrator Zougang zum System hat, den Zougang war op eng IP Adress limitéiert, an d'Basisdaten Windows OS gouf aktualiséiert a geschützt vu externen Attacken. Zur selwechter Zäit goufen RDP- a FTP-Protokoller fir Fernzougang benotzt, a potenziell onsécher Software gouf op der virtueller Maschinn lancéiert, wat Hacking verursaache kéint. Wéi och ëmmer, den Auteur vu Pale Moon ass geneigt ze gleewen datt den Hack engagéiert gouf wéinst net genuch Schutz vun der virtueller Maschinninfrastruktur vum Provider (zum Beispill gläichzäiteg duerch d'Auswiel vun engem onséchere Provider Passwuert mat der Standardvirtualiséierungsmanagement Interface OpenSSL Websäit).
Source: opennet.ru