Forfatter av Pale Moon-nettleseren informasjon om kompromitteringen av archive.palemoon.org-serveren, som lagret et arkiv med tidligere nettleserutgivelser til og med versjon 27.6.2. Under hacket infiserte angriperne alle kjørbare filer med Pale Moon-installasjonsprogrammer for Windows som ligger på serveren med skadelig programvare. I følge foreløpige data ble erstatning av skadelig programvare utført 27. desember 2017, og ble oppdaget først 9. juli 2019, dvs. forble ubemerket i halvannet år.
Den problematiske serveren er for øyeblikket frakoblet for undersøkelse. Server som gjeldende utgivelser ble distribuert fra
Pale Moon påvirkes ikke, problemet påvirker kun gamle Windows-versjoner installert fra arkivet (utgivelser flyttes til arkivet etter hvert som nye versjoner slippes). Under hacket kjørte serveren Windows og kjørte i en virtuell maskin leid av operatøren Frantech/BuyVM. Det er ennå ikke klart hva slags sårbarhet som ble utnyttet og om den var spesifikk for Windows eller påvirket noen kjørende tredjeparts serverapplikasjoner.
Etter å ha fått tilgang, infiserte angriperne selektivt alle exe-filer assosiert med Pale Moon (installatører og selvutpakkende arkiver) med trojansk programvare , rettet mot å stjele kryptovaluta ved å erstatte bitcoin-adresser på utklippstavlen. Kjørbare filer i zip-arkiver påvirkes ikke. Endringer i installasjonsprogrammet kan ha blitt oppdaget av brukeren ved å sjekke de digitale signaturene eller SHA256-hashene vedlagt filene. Skadevaren som brukes er også vellykket de nyeste antivirusene.
26. mai 2019, under aktiviteten på serveren til angripere (det er ikke klart om disse var de samme angriperne som i det første hacket eller andre), ble den normale driften av archive.palemoon.org forstyrret - verten var ikke i stand til for å starte på nytt, og dataene ble skadet. Dette inkluderte tap av systemlogger, som kunne ha inkludert mer detaljerte spor som indikerer angrepets art. På tidspunktet for denne feilen var administratorer uvitende om kompromisset og gjenopprettet arkivet til drift ved å bruke et nytt CentOS-basert miljø og erstatte FTP-nedlastinger med HTTP. Siden hendelsen ikke ble lagt merke til, ble filer fra sikkerhetskopien som allerede var infisert overført til den nye serveren.
Ved å analysere mulige årsaker til kompromisset, antas det at angriperne fikk tilgang ved å gjette passordet til vertspersonalets konto, få direkte fysisk tilgang til serveren, angripe hypervisoren for å få kontroll over andre virtuelle maskiner, hacke webkontrollpanelet , avskjære en ekstern skrivebordsøkt (RDP-protokoll ble brukt) eller ved å utnytte en sårbarhet i Windows Server. De ondsinnede handlingene ble utført lokalt på serveren ved å bruke et skript for å gjøre endringer i eksisterende kjørbare filer, i stedet for å laste dem ned på nytt fra utsiden.
Forfatteren av prosjektet hevder at bare han hadde administratortilgang til systemet, tilgangen var begrenset til én IP-adresse, og det underliggende Windows-operativsystemet ble oppdatert og beskyttet mot eksterne angrep. Samtidig ble RDP- og FTP-protokoller brukt for ekstern tilgang, og potensielt usikker programvare ble lansert på den virtuelle maskinen, som kunne forårsake hacking. Imidlertid er forfatteren av Pale Moon tilbøyelig til å tro at hacket ble begått på grunn av utilstrekkelig beskyttelse av den virtuelle maskininfrastrukturen til leverandøren (for eksempel på en gang gjennom valg av et usikkert leverandørpassord ved å bruke standard virtualiseringsadministrasjonsgrensesnitt OpenSSL-nettstedet).
Kilde: opennet.ru