A böngésző szerzője, Pale Moon információkat tárt fel az egyik szerverhez való illetéktelen hozzáférésről az „archive.palemoon.org” webböngészőből, amely a böngésző korábbi verzióinak archívumát a 27.6.2 verzióig tartotta.
Ebben a hozzáférésben a támadók rosszindulatú programokkal fertőződtek meg összes futtatható fájl a szerveren a következővel: Halvány Hold telepítők az ablakhozs. Az előzetes adatok szerint a rosszindulatú programok cseréjét 27. december 2017-én hajtották végre, és csak 9. július 2019-én észlelték, vagyis másfél évet nem vettek észre.
A kiszolgáló jelenleg le van tiltva vizsgálat céljából. A kiszolgáló, amelyről a Pale Moon jelenlegi kiadásait terjesztették, nem szenvedett, a probléma csak a Windows régi verzióit érinti a már leírt szerverről telepítve (a régi verziók áthelyezésre kerülnek erre a kiszolgálóra, amikor új verziók állnak rendelkezésre).
A hozzáférés után a támadók szelektíven megfertőzték a Pale Moonhoz kapcsolódó összes exe fájlt melyek a telepítők és az önkicsomagoló fájlok a Win32 / ClipBanker.DY trójai szoftverrel, amelynek célja a kriptopénzek ellopása a swap pufferben lévő bitcoin címek kicserélésével.
A zip fájlokon belüli futtatható fájlokat ez nem érinti. A felhasználó a hash-ekhez vagy a digitális aláírási fájlokhoz csatolt SHA256-ot ellenőrizve észlelheti a változásokat a telepítőben. A felhasznált kártevőket az összes releváns víruskereső program is sikeresen felismeri.
A Pale Moon szerverre történő feltörés során a böngésző szerzője a következőket írja le:
„A szerver Windows rendszeren futott, és a Frantech / BuyVM üzemeltetőtől bérelt virtuális gépen indult. "
Egyelőre nem világos, hogy milyen típusú biztonsági rést használtak ki, és hogy ez specifikus-e a Windows-ra, vagy hogy ez bármilyen harmadik fél által üzemeltetett szerveralkalmazást érintett-e.
A hackről
26. május 2019-án a támadók szerverén végzett tevékenység során (nem világos, hogy ugyanazok a támadók, mint az első feltöréskor vagy mások), az archive.palemoon.org normál működése megszakadt- A gazdagép nem indult újra, és az adatok megsérültek.
A rendszernaplók felvétele elveszett, amely részletesebb nyomokat is tartalmazhat, amelyek jelzik a támadás jellegét.
E döntés meghozatalakor az adminisztrátorok nem voltak tisztában az elkötelezettséggel és visszaállították a fájl munkáját az új CentOS-alapú környezet használatával, és az FTP-n keresztüli letöltést lecserélték HTTP-re.
Mivel az esemény nem volt látható az új szerveren, a már fertőzött biztonsági mentési fájlokat átvitték.
A kompromisszum lehetséges okainak elemzésekor Feltételezzük, hogy a támadók hozzáférést kaptak azzal, hogy jelszót szereztek egy fiókhoz a fogadó személyzettőlA fizikai hozzáférés a szerverhez, a hipervizor megtámadása más virtuális gépek irányítása érdekében, betörés a webes vezérlőpultba és egy távoli asztali munkamenet elfogása viszonylag egyszerű volt.
Másrészről úgy gondolják, hogy a támadók RDP-t használtak, vagy a Windows Server egyik sebezhetőségét használták ki. A rosszindulatú műveleteket a kiszolgálón helyben hajtották végre egy szkript segítségével, hogy módosítsák a meglévő futtatható fájlokat, és ne töltsék be őket kívülről.
A projekt szerzője biztosítja, hogy csak neki legyen rendszergazdai hozzáférése, a hozzáférés csak egy IP-címre korlátozódott és hogy az alapvető Windows operációs rendszer naprakész és védett volt a külső támadásoktól.
Ugyanakkor az RDP és az FTP protokollokat használták a távoli eléréshez, és a virtuális gépen potenciálisan nem biztonságos szoftvereket szabadítottak fel, ami a feltörés oka lehet.
A Pale Moon szerzője azonban támogatja azt a verziót, amelyben a feltörést a szolgáltató virtuális gép infrastruktúrájának elégtelen védelme miatt hajtották végre (például az OpenSSL webhelyet egy nem megbízható szállítói jelszó kiválasztásával hackelték át a szokásos virtualizációs kezelő felület segítségével. )