Autor do navegador Pale Moon informações sobre o comprometimento do servidor archive.palemoon.org, que armazenou um arquivo de versões anteriores de navegadores até a versão 27.6.2 inclusive. Durante o hack, os invasores infectaram com malware todos os arquivos executáveis dos instaladores Pale Moon para Windows localizados no servidor. Segundo dados preliminares, a substituição do malware foi realizada em 27 de dezembro de 2017, sendo detectada apenas em 9 de julho de 2019, ou seja. passou despercebido por um ano e meio.
O servidor problemático está offline para investigação. Servidor a partir do qual as versões atuais foram distribuídas
Pale Moon não é afetado, o problema afeta apenas versões antigas do Windows instaladas a partir do arquivo (as versões são movidas para o arquivo à medida que novas versões são lançadas). Durante o hack, o servidor rodava Windows e rodava em uma máquina virtual alugada da operadora Frantech/BuyVM. Ainda não está claro que tipo de vulnerabilidade foi explorada e se era específica do Windows ou afetava alguns aplicativos de servidor de terceiros em execução.
Depois de obter acesso, os invasores infectaram seletivamente todos os arquivos exe associados ao Pale Moon (instaladores e arquivos autoextraíveis) com software Trojan , com o objetivo de roubar criptomoedas substituindo endereços bitcoin na área de transferência. Arquivos executáveis dentro de arquivos zip não são afetados. Alterações no instalador podem ter sido detectadas pelo usuário verificando as assinaturas digitais ou hashes SHA256 anexados aos arquivos. O malware usado também é bem-sucedido antivírus mais atuais.
Em 26 de maio de 2019, durante a atividade no servidor dos invasores (não está claro se eram os mesmos invasores do primeiro hack ou outros), o funcionamento normal de archive.palemoon.org foi interrompido - o host não conseguiu para reiniciar e os dados foram danificados. Isso incluiu a perda de logs do sistema, que poderiam incluir rastros mais detalhados indicando a natureza do ataque. No momento desta falha, os administradores não estavam cientes do comprometimento e restauraram o funcionamento do arquivo usando um novo ambiente baseado em CentOS e substituindo os downloads de FTP por HTTP. Como o incidente não foi percebido, os arquivos do backup já infectados foram transferidos para o novo servidor.
Analisando os possíveis motivos do comprometimento, presume-se que os invasores obtiveram acesso adivinhando a senha da conta da equipe de hospedagem, obtendo acesso físico direto ao servidor, atacando o hipervisor para obter controle sobre outras máquinas virtuais, hackeando o painel de controle web , interceptando uma sessão de área de trabalho remota (foi usado o protocolo RDP) ou explorando uma vulnerabilidade no Windows Server. As ações maliciosas foram realizadas localmente no servidor usando um script para fazer alterações nos arquivos executáveis existentes, em vez de baixá-los novamente de fora.
O autor do projeto afirma que apenas ele tinha acesso de administrador ao sistema, o acesso era limitado a um endereço IP e o sistema operacional Windows subjacente estava atualizado e protegido contra ataques externos. Ao mesmo tempo, protocolos RDP e FTP foram usados para acesso remoto e software potencialmente inseguro foi lançado na máquina virtual, o que poderia causar hackers. No entanto, o autor de Pale Moon tende a acreditar que o hack foi cometido devido à proteção insuficiente da infraestrutura da máquina virtual do provedor (por exemplo, ao mesmo tempo, selecionando uma senha insegura do provedor usando a interface de gerenciamento de virtualização padrão Site OpenSSL).
Fonte: opennet.ru