Autor prehliadača Pale Moon informácie o kompromitácii servera archive.palemoon.org, ktorý uchovával archív predchádzajúcich vydaní prehliadača až do verzie 27.6.2 vrátane. Počas hacku útočníci infikovali všetky spustiteľné súbory inštalačnými programami Pale Moon pre Windows umiestnenými na serveri škodlivým softvérom. Podľa predbežných údajov bola substitúcia malvéru vykonaná 27 a bola zistená až 2017, t.j. zostal nepovšimnutý rok a pol.
Problémový server je momentálne offline kvôli vyšetrovaniu. Server, z ktorého boli distribuované aktuálne vydania
Pale Moon nie je ovplyvnený, problém sa týka iba starých verzií Windows nainštalovaných z archívu (vydania sa presúvajú do archívu, keď sú vydávané nové verzie). Počas hacku bežal server Windows a bežal na virtuálnom stroji prenajatom od operátora Frantech/BuyVM. Zatiaľ nie je jasné, aký druh zraniteľnosti bol zneužitý a či bol špecifický pre Windows alebo ovplyvnil niektoré spustené serverové aplikácie tretích strán.
Po získaní prístupu útočníci selektívne infikovali všetky exe súbory spojené s Pale Moon (inštalátory a samorozbaľovacie archívy) softvérom trójskych koní , zameraný na krádež kryptomien nahradením bitcoinových adries v schránke. Spustiteľné súbory v archívoch zip nie sú ovplyvnené. Zmeny v inštalačnom programe mohol používateľ zistiť kontrolou digitálnych podpisov alebo hash SHA256 pripojených k súborom. Úspešný je aj použitý malvér najnovšie antivírusy.
Dňa 26. mája 2019 bola počas aktivity na serveri útočníkov (nie je jasné, či išlo o tých istých útočníkov ako pri prvom hackovaní alebo iných) narušená bežná prevádzka archive.palemoon.org - hostiteľovi sa nepodarilo reštartovať a údaje boli poškodené. To zahŕňalo stratu systémových protokolov, ktoré mohli obsahovať podrobnejšie stopy naznačujúce povahu útoku. V čase tohto zlyhania správcovia nevedeli o kompromise a obnovili prevádzku archívu pomocou nového prostredia založeného na CentOS a nahradením sťahovania cez FTP protokolom HTTP. Keďže incident nebol zaznamenaný, súbory zo zálohy, ktoré už boli infikované, boli prenesené na nový server.
Pri analýze možných dôvodov kompromisu sa predpokladá, že útočníci získali prístup uhádnutím hesla k účtu hostiteľského personálu, získaním priameho fyzického prístupu k serveru, útokom na hypervízora s cieľom získať kontrolu nad inými virtuálnymi strojmi, hacknutím webového ovládacieho panela. , zachytenie relácie vzdialenej pracovnej plochy (používal sa protokol RDP) alebo zneužitie zraniteľnosti v systéme Windows Server. Škodlivé akcie boli vykonané lokálne na serveri pomocou skriptu na vykonanie zmien v existujúcich spustiteľných súboroch namiesto ich opätovného sťahovania zvonku.
Autor projektu tvrdí, že administrátorský prístup do systému mal iba on, prístup bol obmedzený na jednu IP adresu a základný OS Windows bol aktualizovaný a chránený pred vonkajšími útokmi. Zároveň sa na vzdialený prístup používali protokoly RDP a FTP a na virtuálnom stroji sa spustil potenciálne nebezpečný softvér, ktorý by mohol spôsobiť hackovanie. Autor Pale Moon sa však prikláňa k názoru, že hack bol spáchaný z dôvodu nedostatočnej ochrany infraštruktúry virtuálneho stroja poskytovateľa (napríklad naraz výberom nezabezpečeného hesla poskytovateľa pomocou štandardného rozhrania na správu virtualizácie Webová stránka OpenSSL).
Zdroj: opennet.ru