L'autor de el navegador, Pale Moon, va revelar informació sobre l'accés no autoritzat a un dels servidors de el navegador web "archive.palemoon.org", que va mantenir l'arxiu de les versions anteriors de el navegador fins a la versió 27.6.2 inclosos.
En aquest accés els atacants van infectar amb malware tots els arxius executables de servidor amb els instal·ladors de Pale Moon per Windows. Segons dades preliminars, la substitució de malware es va realitzar el 27 de desembre de 2017 i es va detectar només el 9 de juliol de 2019, És a dir, un any i mig va passar desapercebut.
Actualment, el servidor està deshabilitat per a la investigació. El servidor des del qual es van distribuir les edicions actuals de Pale Moon no va patir, el problema afecta només a les versions antigues de Windows instal·lades des del servidor ja descrit (les versions antigues es mouen a aquest servidor quan hi ha noves versions disponibles).
Després d'obtenir accés, els atacants van infectar selectivament tots els arxius exe relacionats amb Pale Moon els quals són els instal·ladors i arxius autoextraïbles amb el programari Win32 / ClipBanker.DY Trojan destinat a robar les moneda digital a l'reemplaçar les adreces d'bitcoins a la memòria intermèdia d'intercanvi.
Els arxius executables dins dels arxius zip no es veuen afectats. L'usuari podria detectar canvis en l'instal·lador a l'verificar el SHA256 adjunt als hashes o arxius de signatura digital. El malware utilitzat també és detectat amb èxit per tots els programes antivirus rellevants.
Durant el hackeig a servidor de Pale Moon, l'autor de el navegador detalla que:
"El servidor va funcionar en Windows i es va llançar en una màquina virtual arrendada a l'operador Frantech / BuyVM. "
Encara no està clar quin tipus de vulnerabilitat es va explotar i si és específica de Windows o si va afectar a qualsevol aplicació de servidor de tercers en execució.
Sobre el hackeig
El 26 de maig de 2019, en el procés d'activitat en el servidor dels atacants (no està clar si són els mateixos atacants que quan es va realitzar el primer hackeig o altres), es va trencar el funcionament normal de archive.palemoon.org: El host no va poder reiniciar i les dades es van danyar.
La inclusió de registres de sistema es va perdre, El que podria incloure rastrejos més detallats que indiquin la naturalesa de l'atac.
En el moment d'aquesta fallada, els administradors desconeixien el compromís i restaurar el treball de l'arxiu fent servir el nou entorn basat en CentOS i reemplaçant la descàrrega a través d'FTP amb HTTP.
Com l'incident no es va veure al nou servidor, es van transferir els arxius de la còpia de seguretat que ja estaven infectats.
A l'analitzar les possibles causes de l'compromís, s'assumeix que els atacants van obtenir accés a l'obtenir una contrasenya d'un compte de el personal de hosting, A l'haver obtingut accés físic a servidor, realitzar un atac a l'hipervisor per controlar altres màquines virtuals, hackejar el panell de control web i interceptar una sessió d'escriptori remot va ser relativament senzill.
D'altra banda es creu que els atacants van fer servir d'RDP o explotar una vulnerabilitat en Windows Server. Les accions malintencionades es van realitzar localment al servidor usant un script per fer canvis en els arxius executables existents i no tornant-los a carregar des de l'exterior.
L'autor de el projecte assegura que només ell tenia accés d'administrador en el sistema, l'accés estava limitat a una adreça IP i que el sistema operatiu bàsic de Windows estava actualitzat i protegit d'atacs externs.
A el mateix temps, es van usar els protocols RDP i FTP per a l'accés remot i es va llançar un programari potencialment insegur a la màquina virtual, el que podria ser una causa d'el hackeig.
No obstant això, l'autor de Pale Moon s'inclina per la versió en què es va realitzar l'hackeo a causa d'una protecció insuficient de la infraestructura de les màquines virtuals de l'proveïdor (per exemple, el lloc web d'OpenSSL es va piratejar a través de la selecció de una clau d'proveïdor no fiable mitjançant la interfície d'administració de virtualització estàndard)