Avtor brskalnika Pale Moon informacije o ogroženosti strežnika archive.palemoon.org, ki je hranil arhiv preteklih izdaj brskalnika do vključno različice 27.6.2. Med vdorom so napadalci z zlonamerno programsko opremo okužili vse izvedljive datoteke z namestitvenimi programi Pale Moon za Windows, ki se nahajajo na strežniku. Po preliminarnih podatkih je bila zamenjava zlonamerne programske opreme izvedena 27. decembra 2017, zaznana pa je bila šele 9. julija 2019, tj. ostal neopažen leto in pol.
Problematični strežnik je trenutno brez povezave zaradi preiskave. Strežnik, s katerega so bile distribuirane trenutne izdaje
Pale Moon ni prizadet, težava vpliva samo na stare različice sistema Windows, nameščene iz arhiva (izdaje se premaknejo v arhiv, ko se izdajo nove različice). Med vdorom je bil na strežniku nameščen operacijski sistem Windows in je deloval v virtualnem stroju, ki je bil najet pri operaterju Frantech/BuyVM. Ni še jasno, kakšna ranljivost je bila izkoriščena in ali je bila specifična za Windows ali je vplivala na nekatere delujoče strežniške aplikacije tretjih oseb.
Po pridobitvi dostopa so napadalci selektivno okužili vse datoteke exe, povezane s Pale Moon (namestitvene programe in samorazpakirne arhive), s trojansko programsko opremo. , katerega namen je krajo kriptovalute z zamenjavo naslovov bitcoin v odložišču. To ne vpliva na izvedljive datoteke znotraj arhivov zip. Spremembe namestitvenega programa je uporabnik morda zaznal s preverjanjem digitalnih podpisov ali zgoščenih vrednosti SHA256, priloženih datotekam. Uporabljena zlonamerna programska oprema je tudi uspešna najnovejši antivirusi.
26. maja 2019 je bilo med aktivnostjo na strežniku napadalcev (ni jasno, ali so bili to isti napadalci kot pri prvem vdoru ali drugi) moteno normalno delovanje archive.palemoon.org - gostitelj ni mogel znova zagnati in podatki so bili poškodovani. To je vključevalo izgubo sistemskih dnevnikov, ki bi lahko vsebovali podrobnejše sledi, ki kažejo na naravo napada. V času te napake skrbniki niso vedeli za ogroženost in so obnovili delovanje arhiva z uporabo novega okolja, ki temelji na CentOS, in zamenjavo prenosov FTP s HTTP. Ker incident ni bil opažen, so bile datoteke iz varnostne kopije, ki so bile že okužene, prenesene na nov strežnik.
Pri analizi možnih razlogov za ogrožanje se domneva, da so napadalci pridobili dostop z ugibanjem gesla do računa gostujočega osebja, pridobitvijo neposrednega fizičnega dostopa do strežnika, napadom na hipervizor, da bi pridobili nadzor nad drugimi virtualnimi stroji, vdorom v spletno nadzorno ploščo , prestrezanje seje oddaljenega dostopa do namizja (uporabljen je bil protokol RDP) ali z izkoriščanjem ranljivosti v sistemu Windows Server. Zlonamerna dejanja so bila izvedena lokalno na strežniku z uporabo skripta za spreminjanje obstoječih izvedljivih datotek, namesto da bi jih znova naložili od zunaj.
Avtor projekta trdi, da je imel samo on skrbniški dostop do sistema, dostop je bil omejen na en naslov IP, osnovni operacijski sistem Windows pa posodobljen in zaščiten pred zunanjimi napadi. Hkrati sta bila za oddaljeni dostop uporabljena protokola RDP in FTP, na virtualnem stroju pa je bila zagnana potencialno nevarna programska oprema, ki bi lahko povzročila vdor. Vendar pa je avtor Pale Moon nagnjen k prepričanju, da je bil vdor storjen zaradi nezadostne zaščite ponudnikove infrastrukture virtualnega stroja (na primer naenkrat z izbiro nevarnega gesla ponudnika s standardnim vmesnikom za upravljanje virtualizacije). spletno mesto OpenSSL).
Vir: opennet.ru