Awtur tal-browser Pale Moon informazzjoni dwar il-kompromess tas-server archive.palemoon.org, li ħażen arkivju ta' ħarġiet tal-browser tal-passat sa u inkluża l-verżjoni 27.6.2. Matul il-hack, l-attakkanti infettaw il-fajls eżekutibbli kollha b'installaturi Pale Moon għall-Windows li jinsabu fuq is-server b'malware. Skont dejta preliminari, is-sostituzzjoni tal-malware saret fis-27 ta’ Diċembru 2017, u nstabet biss fid-9 ta’ Lulju 2019, i.e. baqg[u innutati g[al sena u nofs.
Is-server problematiku bħalissa huwa offline għall-investigazzjoni. Server li minnu tqassmu r-rilaxxi kurrenti
Pale Moon mhux affettwat, il-problema taffettwa biss verżjonijiet qodma tal-Windows installati mill-arkivju (rilaxxi huma mċaqalqa għall-arkivju hekk kif verżjonijiet ġodda huma rilaxxati). Matul il-hack, is-server kien qed jaħdem Windows u kien qed jaħdem f'magna virtwali mikrija mill-operatur Frantech/BuyVM. Għadu mhux ċar x'tip ta' vulnerabbiltà ġiet sfruttata u jekk kinitx speċifika għall-Windows jew affettwat xi applikazzjonijiet ta' servers ta' partijiet terzi li jaħdmu.
Wara li kisbu aċċess, l-attakkanti infettaw b'mod selettiv il-fajls exe kollha assoċjati ma 'Pale Moon (installaturi u arkivji li joħorġu lilhom infushom) b'softwer Trojan , immirat li jisraq il-munita kripto billi jissostitwixxi l-indirizzi tal-bitcoin fuq il-clipboard. Fajls eżegwibbli ġewwa arkivji zip mhumiex affettwati. Bidliet fl-installatur setgħu ġew skoperti mill-utent billi ċċekkja l-firem diġitali jew il-hashes SHA256 mehmuża mal-fajls. Il-malware użat huwa suċċess ukoll l-aktar antiviruses attwali.
Fis-26 ta' Mejju 2019, waqt l-attività fuq is-server tal-attakkanti (mhux ċar jekk dawn kinux l-istess attakkanti bħal fl-ewwel hack jew oħrajn), l-operat normali ta 'archive.palemoon.org ġie mfixkel - l-ospitant ma kienx kapaċi biex reboot, u d-data kienet bil-ħsara. Dan kien jinkludi t-telf tar-reġistri tas-sistema, li setgħu jinkludu traċċi aktar dettaljati li jindikaw in-natura tal-attakk. Fiż-żmien ta 'dan il-falliment, l-amministraturi ma kinux konxji tal-kompromess u restawraw l-arkivju għall-operazzjoni bl-użu ta' ambjent ġdid ibbażat fuq CentOS u ssostitwixxa downloads FTP b'HTTP. Peress li l-inċident ma ġiex innutat, fajls mill-backup li kienu diġà infettati ġew trasferiti għas-server il-ġdid.
Meta jiġu analizzati r-raġunijiet possibbli għall-kompromess, huwa preżunt li l-attakkanti kisbu aċċess billi ħasbu l-password għall-kont tal-persunal tal-hosting, kisbu aċċess fiżiku dirett għas-server, attakkaw l-hypervisor biex jiksbu kontroll fuq magni virtwali oħra, hacking il-pannell tal-kontroll tal-web , jinterċetta sessjoni desktop remota (intuża protokoll RDP) jew billi tisfrutta vulnerabbiltà fil-Windows Server. L-azzjonijiet malizzjużi twettqu lokalment fuq is-server bl-użu ta 'skript biex isiru bidliet fil-fajls eżekutibbli eżistenti, aktar milli billi jerġgħu jitniżżluhom minn barra.
L-awtur tal-proġett isostni li hu biss kellu aċċess ta 'amministratur għas-sistema, l-aċċess kien limitat għal indirizz IP wieħed, u l-OS Windows sottostanti ġie aġġornat u protett minn attakki esterni. Fl-istess ħin, intużaw protokolli RDP u FTP għal aċċess mill-bogħod, u tnieda softwer potenzjalment mhux sigur fuq il-magna virtwali, li jista 'jikkawża hacking. Madankollu, l-awtur ta 'Pale Moon huwa inklinat li jemmen li l-hack kien kommess minħabba protezzjoni insuffiċjenti tal-infrastruttura tal-magni virtwali tal-fornitur (per eżempju, f'ħin wieħed, permezz tal-għażla ta' password tal-fornitur mhux sigura bl-użu tal-interface standard tal-ġestjoni tal-virtwalizzazzjoni websajt OpenSSL).
Sors: opennet.ru