May-akda ng browser ng Pale Moon impormasyon tungkol sa kompromiso ng archive.palemoon.org server, na nag-imbak ng archive ng mga nakaraang paglabas ng browser hanggang sa at kabilang ang bersyon 27.6.2. Sa panahon ng pag-hack, na-infect ng mga attacker ang lahat ng executable file na may mga installer ng Pale Moon para sa Windows na matatagpuan sa server na may malware. Ayon sa paunang data, ang pagpapalit ng malware ay isinagawa noong Disyembre 27, 2017, at natukoy lamang noong Hulyo 9, 2019, i.e. nanatiling hindi napapansin sa loob ng isang taon at kalahati.
Ang problemang server ay kasalukuyang offline para sa pagsisiyasat. Server kung saan ipinamahagi ang mga kasalukuyang release
Ang Pale Moon ay hindi apektado, ang problema ay nakakaapekto lamang sa mga lumang bersyon ng Windows na naka-install mula sa archive (ang mga release ay inilipat sa archive habang ang mga bagong bersyon ay inilabas). Sa panahon ng hack, ang server ay nagpapatakbo ng Windows at tumatakbo sa isang virtual machine na nirentahan mula sa operator na Frantech/BuyVM. Hindi pa malinaw kung anong uri ng kahinaan ang pinagsamantalahan at kung partikular ito sa Windows o naapektuhan ang ilang tumatakbong mga application ng third-party na server.
Pagkatapos magkaroon ng access, piling na-infect ng mga attacker ang lahat ng exe file na nauugnay sa Pale Moon (mga installer at self-extracting archive) gamit ang Trojan software , na naglalayong magnakaw ng cryptocurrency sa pamamagitan ng pagpapalit ng mga address ng bitcoin sa clipboard. Ang mga executable na file sa loob ng mga zip archive ay hindi apektado. Maaaring natukoy ng user ang mga pagbabago sa installer sa pamamagitan ng pagsuri sa mga digital signature o SHA256 hash na naka-attach sa mga file. Ang malware na ginamit ay matagumpay din pinakabagong mga antivirus.
Noong Mayo 26, 2019, sa panahon ng aktibidad sa server ng mga umaatake (hindi malinaw kung ang mga ito ay ang parehong mga umaatake tulad ng sa unang hack o iba pa), ang normal na operasyon ng archive.palemoon.org ay naantala - hindi nagawa ng host. upang i-reboot, at ang data ay nasira. Kasama rito ang pagkawala ng mga log ng system, na maaaring may kasamang mas detalyadong mga bakas na nagpapahiwatig ng likas na katangian ng pag-atake. Sa oras ng kabiguan na ito, hindi alam ng mga administrator ang kompromiso at ibinalik ang archive sa operasyon gamit ang isang bagong kapaligiran na nakabatay sa CentOS at pinapalitan ang mga pag-download ng FTP ng HTTP. Dahil hindi napansin ang insidente, ang mga file mula sa backup na nahawahan na ay inilipat sa bagong server.
Sinusuri ang mga posibleng dahilan para sa kompromiso, ipinapalagay na ang mga umaatake ay nakakuha ng access sa pamamagitan ng paghula ng password sa hosting staff account, pagkakaroon ng direktang pisikal na access sa server, pag-atake sa hypervisor upang makakuha ng kontrol sa iba pang mga virtual machine, pag-hack sa web control panel , pagharang sa isang remote na sesyon sa desktop (ginamit ang RDP protocol) o sa pamamagitan ng pagsasamantala sa isang kahinaan sa Windows Server. Ang mga nakakahamak na aksyon ay isinagawa nang lokal sa server gamit ang isang script upang gumawa ng mga pagbabago sa mga umiiral nang executable na file, sa halip na sa pamamagitan ng muling pag-download ng mga ito mula sa labas.
Sinasabi ng may-akda ng proyekto na siya lamang ang may access sa administrator sa system, limitado ang access sa isang IP address, at ang pinagbabatayan na Windows OS ay na-update at protektado mula sa mga panlabas na pag-atake. Kasabay nito, ang mga protocol ng RDP at FTP ay ginamit para sa malayuang pag-access, at ang potensyal na hindi ligtas na software ay inilunsad sa virtual machine, na maaaring magdulot ng pag-hack. Gayunpaman, ang may-akda ng Pale Moon ay may posibilidad na maniwala na ang hack ay ginawa dahil sa hindi sapat na proteksyon ng virtual machine na imprastraktura ng provider (halimbawa, sa isang pagkakataon, sa pamamagitan ng pagpili ng isang hindi secure na password ng provider gamit ang karaniwang interface ng pamamahala ng virtualization. OpenSSL website).
Pinagmulan: opennet.ru