Auteur van de Pale Moon-browser informatie over de inbreuk op de archive.palemonon.org-server, die een archief opsloeg van eerdere browserreleases tot en met versie 27.6.2. Tijdens de hack infecteerden de aanvallers alle uitvoerbare bestanden met Pale Moon-installatieprogramma's voor Windows die zich op de server bevonden met malware. Volgens voorlopige gegevens werd de vervanging van malware uitgevoerd op 27 december 2017 en pas op 9 juli 2019 gedetecteerd. anderhalf jaar onopgemerkt gebleven.
De problematische server is momenteel offline voor onderzoek. Server van waaruit huidige releases zijn gedistribueerd
Pale Moon heeft er geen last van, het probleem treft alleen oude Windows-versies die vanuit het archief zijn geïnstalleerd (releases worden naar het archief verplaatst zodra er nieuwe versies worden uitgebracht). Tijdens de hack draaide de server Windows en draaide deze op een virtuele machine die was gehuurd van de operator Frantech/BuyVM. Het is nog niet duidelijk welk soort kwetsbaarheid is misbruikt en of deze specifiek voor Windows was of enkele actieve serverapplicaties van derden trof.
Nadat ze toegang hadden gekregen, infecteerden de aanvallers selectief alle exe-bestanden die aan Pale Moon waren gekoppeld (installatieprogramma's en zelfuitpakkende archieven) met Trojaanse software , gericht op het stelen van cryptocurrency door bitcoin-adressen op het klembord te vervangen. Uitvoerbare bestanden in zip-archieven worden niet beïnvloed. Wijzigingen in het installatieprogramma zijn mogelijk door de gebruiker gedetecteerd door de digitale handtekeningen of SHA256-hashes te controleren die aan de bestanden zijn gekoppeld. Ook de gebruikte malware is succesvol meest recente antivirusprogramma's.
Op 26 mei 2019 werd tijdens de activiteit op de server van aanvallers (het is niet duidelijk of dit dezelfde aanvallers waren als bij de eerste hack of andere) de normale werking van archive.palemoon.org verstoord - de host kon niet opnieuw opstarten en de gegevens zijn beschadigd. Dit omvatte onder meer het verlies van systeemlogboeken, die meer gedetailleerde sporen hadden kunnen bevatten die de aard van de aanval aangaven. Op het moment van deze mislukking waren de beheerders zich niet bewust van de inbreuk en herstelden zij het archief met behulp van een nieuwe, op CentOS gebaseerde omgeving, waarbij FTP-downloads werden vervangen door HTTP. Omdat het incident niet werd opgemerkt, werden bestanden uit de back-up die al geïnfecteerd waren, overgebracht naar de nieuwe server.
Bij het analyseren van de mogelijke redenen voor het compromis wordt aangenomen dat de aanvallers toegang hebben verkregen door het wachtwoord van het hostingpersoneelsaccount te raden, directe fysieke toegang tot de server te verkrijgen, de hypervisor aan te vallen om controle over andere virtuele machines te krijgen, en het webcontrolepaneel te hacken. , het onderscheppen van een sessie met een extern bureaublad (er is gebruik gemaakt van het RDP-protocol) of door misbruik te maken van een kwetsbaarheid in Windows Server. De kwaadaardige acties werden lokaal op de server uitgevoerd met behulp van een script om wijzigingen aan te brengen in bestaande uitvoerbare bestanden, in plaats van ze van buitenaf opnieuw te downloaden.
De auteur van het project beweert dat alleen hij beheerderstoegang tot het systeem had, dat de toegang beperkt was tot één IP-adres en dat het onderliggende Windows-besturingssysteem werd bijgewerkt en beschermd tegen aanvallen van buitenaf. Tegelijkertijd werden RDP- en FTP-protocollen gebruikt voor externe toegang en werd mogelijk onveilige software op de virtuele machine gelanceerd, wat tot hacking kon leiden. De auteur van Pale Moon is echter geneigd te geloven dat de hack is gepleegd vanwege onvoldoende bescherming van de virtuele machine-infrastructuur van de provider (bijvoorbeeld ooit door het selecteren van een onveilig providerwachtwoord met behulp van de standaard virtualisatiebeheerinterface OpenSSL-website).
Bron: opennet.ru