Autor do navegador Pale Moon
O servidor problemático está offline para investigação. Servidor a partir do qual as versões atuais foram distribuídas
Pale Moon não é afetado, o problema afeta apenas versões antigas do Windows instaladas a partir do arquivo (as versões são movidas para o arquivo à medida que novas versões são lançadas). Durante o hack, o servidor rodava Windows e rodava em uma máquina virtual alugada da operadora Frantech/BuyVM. Ainda não está claro que tipo de vulnerabilidade foi explorada e se era específica do Windows ou afetava alguns aplicativos de servidor de terceiros em execução.
Depois de obter acesso, os invasores infectaram seletivamente todos os arquivos exe associados ao Pale Moon (instaladores e arquivos autoextraíveis) com software Trojan
Em 26 de maio de 2019, durante a atividade no servidor dos invasores (não está claro se eram os mesmos invasores do primeiro hack ou outros), o funcionamento normal de archive.palemoon.org foi interrompido - o host não conseguiu para reiniciar e os dados foram danificados. Isso incluiu a perda de logs do sistema, que poderiam incluir rastros mais detalhados indicando a natureza do ataque. No momento desta falha, os administradores não estavam cientes do comprometimento e restauraram o funcionamento do arquivo usando um novo ambiente baseado em CentOS e substituindo os downloads de FTP por HTTP. Como o incidente não foi percebido, os arquivos do backup já infectados foram transferidos para o novo servidor.
Analisando os possíveis motivos do comprometimento, presume-se que os invasores obtiveram acesso adivinhando a senha da conta da equipe de hospedagem, obtendo acesso físico direto ao servidor, atacando o hipervisor para obter controle sobre outras máquinas virtuais, hackeando o painel de controle web , interceptando uma sessão de área de trabalho remota (foi usado o protocolo RDP) ou explorando uma vulnerabilidade no Windows Server. As ações maliciosas foram realizadas localmente no servidor usando um script para fazer alterações nos arquivos executáveis existentes, em vez de baixá-los novamente de fora.
O autor do projeto afirma que apenas ele tinha acesso de administrador ao sistema, o acesso era limitado a um endereço IP e o sistema operacional Windows subjacente estava atualizado e protegido contra ataques externos. Ao mesmo tempo, protocolos RDP e FTP foram usados para acesso remoto e software potencialmente inseguro foi lançado na máquina virtual, o que poderia causar hackers. No entanto, o autor de Pale Moon tende a acreditar que o hack foi cometido devido à proteção insuficiente da infraestrutura da máquina virtual do provedor (por exemplo, ao mesmo tempo, selecionando uma senha insegura do provedor usando a interface de gerenciamento de virtualização padrão
Fonte: opennet.ru