Авторът на браузъра Pale Moon разкри информация за неоторизиран достъп до един от сървърите от уеб браузъра “archive.palemoon.org”, който поддържа архива на предишни версии на браузъра до и включително версия 27.6.2.
В този достъп нападателите, заразени със злонамерен софтуер всички изпълними файлове на сървъра с Инсталатори на Pale Moon за Прозорецс. По предварителни данни, замяната на зловредния софтуер е извършена на 27 декември 2017 г. и е открита едва на 9 юли 2019 г., тоест година и половина остана незабелязана.
Понастоящем сървърът е деактивиран за разследване. Сървърът, от който се разпространяват текущите издания на Pale Moon, не страда, проблемът засяга само старите версии на Windows инсталиран от вече описания сървър (старите версии се преместват на този сървър, когато са налични нови версии).
След като получи достъп, нападателите селективно заразиха всички exe файлове, свързани с Pale Moon които са инсталаторите и саморазархивиращите се файлове с троянски софтуер Win32 / ClipBanker.DY, предназначен за кражба на криптовалути чрез замяна на биткойн адресите в суап буфера.
Изпълнимите файлове в zip файлове не са засегнати. Потребителят може да открие промени в инсталатора, като провери SHA256, прикрепен към хешовете или файловете с цифров подпис. Използваният злонамерен софтуер също се открива успешно от всички съответни антивирусни програми.
По време на хакването на сървъра Pale Moon, авторът на браузъра описва, че:
„Сървърът работеше под Windows и беше стартиран на виртуална машина, наета от оператора Frantech / BuyVM. "
Все още не е ясно какъв тип уязвимост е била използвана и дали тя е специфична за Windows или дали е повлияла на работещи приложения на трети страни сървъри.
Относно хакването
На 26 май 2019 г. в процеса на активност на сървъра на нападателите (не е ясно дали те са същите нападатели, както когато е извършен първият хак или други), нормалното функциониране на archive.palemoon.org беше нарушено- Хостът не успя да се рестартира и данните бяха повредени.
Включването на системните дневници беше загубено, което може да включва по-подробни следи, указващи естеството на атаката.
По време на това решение администраторите не са знаели за ангажимента и те възстановиха работата на файла, като използваха новата среда, базирана на CentOS, и замениха изтеглянето чрез FTP с HTTP.
Тъй като инцидентът не се вижда на новия сървър, архивните файлове, които вече бяха заразени, бяха прехвърлени.
Когато анализирате възможните причини за компромис, Предполага се, че нападателите са получили достъп чрез получаване на парола за акаунт от хостинг персоналаСлед като получи физически достъп до сървъра, атаката на хипервизора за управление на други виртуални машини, проникването в уеб контролния панел и прихващането на сесия на отдалечен работен плот беше относително ясен.
От друга страна се смята, че нападателите са използвали RDP или са използвали уязвимост в Windows Server. Зловредните действия бяха извършени локално на сървъра, използвайки скрипт, за да направят промени в съществуващите изпълними файлове и да не ги презареждат отвън.
Авторът на проекта гарантира, че само той е имал администраторски достъп до системата, достъпът е бил ограничен до IP адрес и че основната операционна система Windows е била актуална и защитена от външни атаки.
В същото време за отдалечен достъп бяха използвани протоколи RDP и FTP и на виртуалната машина беше пуснат потенциално несигурен софтуер, което може да е причина за хакването.
Авторът на Pale Moon обаче подкрепя версията, в която е извършен хак поради недостатъчна защита на инфраструктурата на виртуалната машина на доставчика (например уебсайтът на OpenSSL е хакнат чрез избора на парола на ненадежден доставчик, използвайки стандартния интерфейс за управление на виртуализацията )