Autor preglednika Pale Moon otkrio je informacije o neovlaštenom pristupu jednom od poslužitelja iz web preglednika “archive.palemoon.org”, koji je čuvao arhivu prethodnih verzija preglednika do verzije 27.6.2, uključujući.
U ovom pristupu napadači zaraženi zlonamjernim softverom sve izvršne datoteke na poslužitelju s Instalateri Blijedi mjesec za Prozors. Prema preliminarnim podacima, zamjena zlonamjernog softvera izvršena je 27. prosinca 2017., a otkrivena je tek 9. srpnja 2019, odnosno godinu i pol dana prošlo je nezapaženo.
Poslužitelj je trenutno onemogućen za istragu. Poslužitelj s kojeg su distribuirana trenutna izdanja Pale Moon-a nije patio, problem utječe samo na stare verzije sustava Windows instaliran s već opisanog poslužitelja (stare verzije premještaju se na ovaj poslužitelj kada su dostupne nove verzije).
Nakon dobivanja pristupa, napadači su selektivno zarazili sve exe datoteke povezane s Pale Moonom koji su instalateri i samoraspakirajuće datoteke s trojanskim softverom Win32 / ClipBanker.DY namijenjenim krađi kriptovaluta zamjenom bitcoin adresa u međuspremniku.
To ne utječe na izvršne datoteke unutar zip datoteka. Korisnik je mogao otkriti promjene u programu za instaliranje provjerom SHA256 priloženog za hasheve ili datoteke digitalnog potpisa. Upotrijebljeni zlonamjerni softver također uspješno otkrivaju svi relevantni antivirusni programi.
Tijekom hakiranja poslužitelja Pale Moon, autor preglednika navodi da:
“Poslužitelj je radio na sustavu Windows i pokrenut je na virtualnom stroju unajmljenom od operatora Frantech / BuyVM. "
Još nije jasno koja je vrsta ranjivosti iskorištena i je li specifična za Windows ili je utjecala na bilo koju pokrenutu poslužiteljsku aplikaciju treće strane.
O hakiranju
26. svibnja 2019., u procesu aktivnosti na poslužitelju napadača (nije jasno jesu li to isti napadači kao kad je izvršen prvi haker ili drugi), prekinuto je normalno funkcioniranje archive.palemoon.org- Domaćin se nije uspio ponovno pokrenuti i podaci su oštećeni.
Uključivanje sistemskih dnevnika je izgubljeno, koji bi mogao sadržavati detaljnije tragove koji ukazuju na prirodu napada.
U vrijeme ove presude administratori nisu bili svjesni obveze i obnovili su rad datoteke koristeći novo okruženje temeljeno na CentOS-u i zamjenjujući preuzimanje putem FTP-a s HTTP-om.
Kako incident nije viđen na novom poslužitelju, prenesene su već zaražene sigurnosne kopije.
Pri analiziranju mogućih uzroka kompromisa, Pretpostavlja se da su napadači stekli pristup dobivanjem lozinke za račun od osoblja hostingaDobivši fizički pristup poslužitelju, napad na hipervizor za kontrolu drugih virtualnih strojeva, hakiranje web kontrolne ploče i presretanje sesije udaljene radne površine bilo je relativno jednostavno.
S druge strane, vjeruje se da su napadači koristili RDP ili iskoristili ranjivost u sustavu Windows Server. Zlonamjerne radnje izvršene su lokalno na poslužitelju pomoću skripte za izmjene postojećih izvršnih datoteka, a ne za njihovo ponovno učitavanje izvana.
Autor projekta osigurava da je samo on imao administratorski pristup sustavu, pristup je bio ograničen na IP adresu te da je osnovni operativni sustav Windows bio suvremen i zaštićen od vanjskih napada.
Istodobno, RDP i FTP protokoli korišteni su za daljinski pristup, a potencijalno nesiguran softver pušten je na virtualni stroj, što bi mogao biti uzrok hakiranja.
Međutim, autor Pale Moon favorizira verziju u kojoj je izvršeno hakiranje zbog nedovoljne zaštite infrastrukture virtualnih strojeva davatelja usluga (na primjer, web mjesto OpenSSL hakirano je odabirom lozinke nepouzdanog dobavljača pomoću standardnog sučelja za upravljanje virtualizacijom )