Autor przeglądarki Pale Moon informacja o włamaniu na serwer Archive.palemoon.org, który przechowuje archiwum poprzednich wersji przeglądarek do wersji 27.6.2 włącznie. Podczas włamania napastnicy infekowali wszystkie pliki wykonywalne instalatorami Pale Moon dla Windows znajdującymi się na serwerze złośliwym oprogramowaniem. Według wstępnych danych podmiana szkodliwego oprogramowania została przeprowadzona 27 grudnia 2017 r., a wykryta została dopiero 9 lipca 2019 r., tj. pozostał niezauważony przez półtora roku.
Serwer powodujący problemy jest obecnie offline w celu sprawdzenia. Serwer, z którego dystrybuowano aktualne wydania
Pale Moon nie jest dotknięty, problem dotyczy tylko starych wersji systemu Windows zainstalowanych z archiwum (wersje są przenoszone do archiwum w miarę wydawania nowych wersji). Podczas włamania serwer działał pod kontrolą systemu Windows i działał na maszynie wirtualnej wynajętej od operatora Frantech/BuyVM. Nie jest jeszcze jasne, jakiego rodzaju luka została wykorzystana i czy dotyczyła ona systemu Windows, czy też dotyczyła niektórych działających aplikacji serwerowych innych firm.
Po uzyskaniu dostępu napastnicy selektywnie infekowali wszystkie pliki exe powiązane z Pale Moon (instalatory i samorozpakowujące się archiwa) trojanem , mający na celu kradzież kryptowaluty poprzez zastąpienie adresów bitcoin w schowku. Nie ma to wpływu na pliki wykonywalne znajdujące się w archiwach ZIP. Zmiany w instalatorze mogły zostać wykryte przez użytkownika poprzez sprawdzenie podpisów cyfrowych lub skrótów SHA256 dołączonych do plików. Wykorzystane złośliwe oprogramowanie również jest skuteczne większość aktualnych programów antywirusowych.
W dniu 26 maja 2019 roku podczas aktywności na serwerze atakujących (nie jest jasne, czy byli to ci sami napastnicy, co w pierwszym hacku, czy też inni), normalne działanie Archive.palemoon.org zostało zakłócone – host nie mógł uruchomić ponownie, co spowodowało uszkodzenie danych. Obejmowało to utratę dzienników systemowych, które mogły zawierać bardziej szczegółowe ślady wskazujące na charakter ataku. W momencie wystąpienia tej awarii administratorzy nie byli świadomi naruszenia i przywrócili archiwum do działania, korzystając z nowego środowiska opartego na CentOS i zastępując pobieranie plików FTP protokołem HTTP. Ponieważ incydent nie został zauważony, zainfekowane już pliki z kopii zapasowej zostały przeniesione na nowy serwer.
Analizując możliwe przyczyny kompromisu, zakłada się, że napastnicy uzyskali dostęp poprzez odgadnięcie hasła do konta personelu hostingowego, uzyskanie bezpośredniego fizycznego dostępu do serwera, atak na hiperwizora w celu przejęcia kontroli nad innymi maszynami wirtualnymi, włamanie się do internetowego panelu sterowania , przechwytując sesję zdalnego pulpitu (wykorzystano protokół RDP) lub wykorzystując lukę w zabezpieczeniach systemu Windows Server. Szkodliwe działania były przeprowadzane lokalnie na serwerze przy użyciu skryptu wprowadzającego zmiany w istniejących plikach wykonywalnych, a nie poprzez ponowne pobieranie ich z zewnątrz.
Autor projektu twierdzi, że tylko on miał dostęp administratora do systemu, dostęp był ograniczony do jednego adresu IP, a system operacyjny Windows był aktualizowany i chroniony przed atakami z zewnątrz. Jednocześnie do zdalnego dostępu wykorzystano protokoły RDP i FTP, a na maszynie wirtualnej zostało uruchomione potencjalnie niebezpieczne oprogramowanie, które mogło spowodować włamanie. Autor Pale Moon jest jednak skłonny wierzyć, że do włamania doszło z powodu niewystarczającej ochrony infrastruktury maszyny wirtualnej dostawcy (na przykład w pewnym momencie poprzez wybranie niepewnego hasła dostawcy za pomocą standardowego interfejsu zarządzania wirtualizacją witryna OpenSSL).
Źródło: opennet.ru