Автор на прелистувачот Pale Moon Информации за компромитирање на серверот archive.palemoon.org, на кој се чувале архиви од претходни изданија на прелистувачи до и вклучително и верзијата 27.6.2. За време на хакирањето, напаѓачите ги инфицирале сите извршни датотеки што содржат инсталатери на Pale Moon хостирани на серверот со малициозен софтвер. WindowsСпоред прелиминарните податоци, малициозниот софтвер бил поставен на 27 декември 2017 година, но бил откриен дури на 9 јули 2019 година, што значи дека останал неоткриен година и пол.
Проблематичниот сервер во моментов е офлајн за истрага. Сервер од кој беа дистрибуирани тековните изданија
Бледата месечина не е засегната, проблемот влијае само на постарите верзии. Windows-верзии инсталирани од архивата (изданијата се преместуваат во архивата како што се објавуваат нови верзии). Во времето на хакирањето, серверот работеше Windows и беше лансирана во виртуелна машина изнајмена од операторот Frantech/BuyVM. Која специфична ранливост беше искористена и дали е специфична за Windows Сè уште не е јасно дали тоа влијаело на некои апликации на сервери од трети страни што работат.
Откако добиле пристап, напаѓачите селективно ги инфицирале сите exe-датотеки поврзани со Pale Moon (инсталатори и архиви кои самостојно извлекуваат) со тројански софтвер , насочена кон кражба на криптовалути со замена на биткоин адреси на таблата со исечоци. Извршните датотеки во зип архивите не се засегнати. Промените на инсталаторот можеби ги открил корисникот со проверка на дигиталните потписи или хашовите на SHA256 прикачени на датотеките. Користениот малициозен софтвер е исто така успешен најактуелните антивируси.
На 26 мај 2019 година, за време на активноста на напаѓачот на серверот (не е јасно дали станува збор за истите напаѓачи како и во првичниот упад или за различни), нормалната функционалност на archive.palemoon.org беше нарушена - домаќинот не успеа да се рестартира, а податоците беа оштетени. Системските логови, кои можеа да содржат подетални траги што укажуваат на природата на нападот, исто така беа изгубени. Во времето на овој неуспех, администраторите не беа свесни за компромитирањето и ја обновија архивата користејќи нова средина базирана на CentOS и замена на FTP прикачувањата со HTTP. Бидејќи инцидентот помина незабележано, датотеките од резервната копија, кои веќе беа заразени, беа префрлени на новиот сервер.
Анализирајќи ги можните причини за компромитирањето, се претпоставува дека напаѓачите добиле пристап со брутално наметнување на лозинката до сметката на персоналот за хостирање, добивање директен физички пристап до серверот, извршување напад врз хипервизорот за да добијат контрола врз други виртуелни машини, хакирање на веб-контролната табла, пресретнување на сесија на далечинска работна површина (користејќи го протоколот RDP) или искористување на ранливост во Windows ServerЗлонамерните дејства биле извршени локално на серверот со помош на скрипта за модифицирање на постоечките извршни датотеки, наместо со повторно преземање однадвор.
Авторот на проектот тврди дека тој бил единствениот со администраторски пристап до системот, пристапот бил ограничен на една IP адреса, а основниот оперативен систем Windows беше ажуриран и заштитен од надворешни напади. Сепак, протоколите RDP и FTP беа користени за далечински пристап, а на виртуелната машина работеше потенцијално небезбеден софтвер, што можеше да доведе до хакирањето. Сепак, авторот на „Бледа месечина“ е склонен да верува дека хакирањето се должи на недоволна заштита на инфраструктурата на виртуелната машина на провајдерот (на пример, со брутално наметнување на слаба лозинка на провајдерот со користење на стандардниот интерфејс за управување со виртуелизација). OpenSSL веб-страница).
Извор: opennet.ru
