كشف مؤلف المتصفح ، Pale Moon ، عن معلومات حول الوصول غير المصرح به إلى أحد الخوادم من متصفح الويب "archive.palemoon.org" ، الذي احتفظ بأرشيف الإصدارات السابقة من المتصفح حتى الإصدار 27.6.2.
في هذا الوصول إلى المهاجمين المصابين بالبرامج الضارة جميع الملفات القابلة للتنفيذ على الخادم بامتداد مثبتات برنامج Pale Moon للنافذةس. وفقًا للبيانات الأولية ، تم إجراء استبدال البرامج الضارة في 27 ديسمبر 2017 ولم يتم اكتشافه إلا في 9 يوليو 2019، أي عام ونصف مرت دون أن يلاحظها أحد.
الخادم معطل حاليا للتحقيق. الخادم الذي تم توزيع الإصدارات الحالية من Pale Moon لم يتأثر ، المشكلة تؤثر فقط على الإصدارات القديمة من Windows مثبتة من الخادم الموصوف بالفعل (يتم نقل الإصدارات القديمة إلى هذا الخادم عند توفر إصدارات جديدة).
بعد الوصول ، قام المهاجمون بإصابة جميع ملفات exe المتعلقة بـ Pale Moon بشكل انتقائي وهي أدوات التثبيت وملفات الاستخراج الذاتي باستخدام برنامج Win32 / ClipBanker.DY طروادة الذي يهدف إلى سرقة العملات المشفرة عن طريق استبدال عناوين البيتكوين في المخزن المؤقت للمبادلة.
لا تتأثر الملفات القابلة للتنفيذ داخل الملفات المضغوطة. يمكن للمستخدم اكتشاف التغييرات في المثبت عن طريق التحقق من SHA256 المرفق بالتجزئة أو ملفات التوقيع الرقمي. يتم أيضًا اكتشاف البرامج الضارة المستخدمة بنجاح بواسطة جميع برامج مكافحة الفيروسات ذات الصلة.
أثناء اختراق خادم Pale Moon ، يوضح مؤلف المتصفح ما يلي:
"تم تشغيل الخادم على Windows وتم إطلاقه على جهاز افتراضي مستأجر من المشغل Frantech / BuyVM. "
لم يتضح بعد نوع الثغرة الأمنية التي تم استغلالها وما إذا كانت خاصة بنظام Windows أو ما إذا كانت قد أثرت على أي تطبيقات خادم خارجية قيد التشغيل.
حول الاختراق
في 26 مايو 2019 ، أثناء إجراء نشاط على خادم المهاجمين (ليس من الواضح ما إذا كانوا هم نفس المهاجمين الذين تم تنفيذ الاختراق الأول أو غيرهم) ، تعطل الأداء الطبيعي لـ archive.palemoon.org- فشل المضيف في إعادة التشغيل وتلف البيانات.
تم فقد إدراج سجلات النظام، والتي يمكن أن تتضمن آثارًا أكثر تفصيلاً تشير إلى طبيعة الهجوم.
في وقت هذا الحكم ، لم يكن المسؤولون على دراية بالالتزام وقاموا باستعادة عمل الملف باستخدام بيئة CentOS الجديدة واستبدال التنزيل عبر FTP بـ HTTP.
حيث لم يتم مشاهدة الحادث على السيرفر الجديد ، تم نقل ملفات النسخ الاحتياطي المصابة بالفعل.
عند تحليل الأسباب المحتملة للتسوية ، يُفترض أن المهاجمين تمكنوا من الوصول عن طريق الحصول على كلمة مرور لحساب من فريق الاستضافةبعد أن حصلت على وصول مادي إلى الخادم ، كانت مهاجمة برنامج Hypervisor للتحكم في الأجهزة الافتراضية الأخرى ، والتسلل إلى لوحة تحكم الويب ، واعتراض جلسة سطح المكتب البعيد أمرًا سهلاً نسبيًا.
من ناحية أخرى ، يُعتقد أن المهاجمين استخدموا RDP أو استغلوا ثغرة أمنية في Windows Server. تم تنفيذ الإجراءات الضارة محليًا على الخادم باستخدام برنامج نصي لإجراء تغييرات على الملفات القابلة للتنفيذ الحالية وعدم إعادة تحميلها من الخارج.
يضمن مؤلف المشروع أنه فقط لديه حق وصول المسؤول إلى النظام ، وكان الوصول مقصورًا على عنوان IP وأن نظام تشغيل Windows الأساسي كان حديثًا ومحميًا من الهجمات الخارجية.
في الوقت نفسه ، تم استخدام بروتوكولي RDP و FTP للوصول عن بُعد وتم إصدار برنامج يحتمل أن يكون غير آمن على الجهاز الظاهري ، والذي قد يكون سببًا للاختراق.
ومع ذلك ، يفضل مؤلف Pale Moon الإصدار الذي تم فيه الاختراق بسبب عدم كفاية الحماية للبنية التحتية للآلة الافتراضية للمزود (على سبيل المثال ، تم اختراق موقع OpenSSL الإلكتروني من خلال اختيار كلمة مرور بائع غير موثوق بها باستخدام واجهة إدارة المحاكاة الافتراضية القياسية )