Auteur van de Pale Moon-browser
De problematische server is momenteel offline voor onderzoek. Server van waaruit huidige releases zijn gedistribueerd
Pale Moon heeft er geen last van, het probleem treft alleen oude Windows-versies die vanuit het archief zijn geïnstalleerd (releases worden naar het archief verplaatst zodra er nieuwe versies worden uitgebracht). Tijdens de hack draaide de server Windows en draaide deze op een virtuele machine die was gehuurd van de operator Frantech/BuyVM. Het is nog niet duidelijk welk soort kwetsbaarheid is misbruikt en of deze specifiek voor Windows was of enkele actieve serverapplicaties van derden trof.
Nadat ze toegang hadden gekregen, infecteerden de aanvallers selectief alle exe-bestanden die aan Pale Moon waren gekoppeld (installatieprogramma's en zelfuitpakkende archieven) met Trojaanse software
Op 26 mei 2019 werd tijdens de activiteit op de server van aanvallers (het is niet duidelijk of dit dezelfde aanvallers waren als bij de eerste hack of andere) de normale werking van archive.palemoon.org verstoord - de host kon niet opnieuw opstarten en de gegevens zijn beschadigd. Dit omvatte onder meer het verlies van systeemlogboeken, die meer gedetailleerde sporen hadden kunnen bevatten die de aard van de aanval aangaven. Op het moment van deze mislukking waren de beheerders zich niet bewust van de inbreuk en herstelden zij het archief met behulp van een nieuwe, op CentOS gebaseerde omgeving, waarbij FTP-downloads werden vervangen door HTTP. Omdat het incident niet werd opgemerkt, werden bestanden uit de back-up die al geïnfecteerd waren, overgebracht naar de nieuwe server.
Bij het analyseren van de mogelijke redenen voor het compromis wordt aangenomen dat de aanvallers toegang hebben verkregen door het wachtwoord van het hostingpersoneelsaccount te raden, directe fysieke toegang tot de server te verkrijgen, de hypervisor aan te vallen om controle over andere virtuele machines te krijgen, en het webcontrolepaneel te hacken. , het onderscheppen van een sessie met een extern bureaublad (er is gebruik gemaakt van het RDP-protocol) of door misbruik te maken van een kwetsbaarheid in Windows Server. De kwaadaardige acties werden lokaal op de server uitgevoerd met behulp van een script om wijzigingen aan te brengen in bestaande uitvoerbare bestanden, in plaats van ze van buitenaf opnieuw te downloaden.
De auteur van het project beweert dat alleen hij beheerderstoegang tot het systeem had, dat de toegang beperkt was tot één IP-adres en dat het onderliggende Windows-besturingssysteem werd bijgewerkt en beschermd tegen aanvallen van buitenaf. Tegelijkertijd werden RDP- en FTP-protocollen gebruikt voor externe toegang en werd mogelijk onveilige software op de virtuele machine gelanceerd, wat tot hacking kon leiden. De auteur van Pale Moon is echter geneigd te geloven dat de hack is gepleegd vanwege onvoldoende bescherming van de virtuele machine-infrastructuur van de provider (bijvoorbeeld ooit door het selecteren van een onveilig providerwachtwoord met behulp van de standaard virtualisatiebeheerinterface
Bron: opennet.ru