Penulis browser, Pale Moon, mengungkapkan informasi tentang akses tidak sah ke salah satu server dari browser web "archive.palemoon.org", yang menyimpan arsip versi browser sebelumnya hingga dan termasuk versi 27.6.2.
Dalam akses ini penyerang terinfeksi malware semua file yang dapat dieksekusi di server dengan Pemasang Pale Moon untuk Windows. Menurut data awal, Penggantian malware dilakukan pada 27 Desember 2017 dan baru terdeteksi pada 9 Juli 2019, yaitu, satu setengah tahun luput dari perhatian.
Server saat ini dinonaktifkan untuk penyelidikan. Server tempat edisi Pale Moon saat ini didistribusikan tidak mengalami gangguan, masalah hanya mempengaruhi versi lama Windows diinstal dari server yang telah dijelaskan (versi lama dipindahkan ke server ini ketika versi baru tersedia).
Setelah mendapatkan akses, para penyerang secara selektif menginfeksi semua file exe yang terkait dengan Pale Moon yang merupakan penginstal dan file yang mengekstrak sendiri dengan perangkat lunak Trojan Win32 / ClipBanker.DY yang dimaksudkan untuk mencuri mata uang kripto dengan mengganti alamat bitcoin di buffer swap.
File yang dapat dijalankan dalam file zip tidak terpengaruh. Pengguna dapat mendeteksi perubahan dalam penginstal dengan memeriksa SHA256 yang dilampirkan ke file hash atau tanda tangan digital. Malware yang digunakan juga berhasil dideteksi oleh semua program antivirus yang relevan.
Selama peretasan ke server Pale Moon, penulis peramban merinci bahwa:
“Server berjalan pada Windows dan diluncurkan pada mesin virtual yang disewa dari operator Frantech / BuyVM. "
Belum jelas jenis kerentanan apa yang dieksploitasi dan apakah itu khusus untuk Windows atau apakah itu memengaruhi aplikasi server pihak ketiga yang sedang berjalan.
Tentang peretasan
Pada 26 Mei 2019, dalam proses aktivitas di server penyerang (tidak jelas apakah mereka adalah penyerang yang sama seperti saat peretasan pertama dilakukan atau lainnya), fungsi normal archive.palemoon.org rusak- Tuan rumah gagal melakukan boot ulang dan datanya rusak.
Pencantuman log sistem hilang, yang dapat mencakup jejak yang lebih detail yang menunjukkan sifat serangan.
Pada saat keputusan ini dikeluarkan, administrator tidak mengetahui komitmen tersebut dan mereka memulihkan pekerjaan file menggunakan lingkungan berbasis CentOS yang baru dan mengganti pengunduhan melalui FTP dengan HTTP.
Karena insiden itu tidak terlihat di server baru, file cadangan yang sudah terinfeksi dipindahkan.
Saat menganalisis kemungkinan penyebab kompromi, Penyerang diasumsikan telah memperoleh akses dengan mendapatkan kata sandi untuk akun dari staf hostingSetelah mendapatkan akses fisik ke server, menyerang hypervisor untuk mengontrol mesin virtual lain, meretas ke panel kontrol web, dan mencegat sesi desktop jarak jauh relatif mudah.
Di sisi lain, diyakini bahwa penyerang menggunakan RDP atau mengeksploitasi kerentanan di Windows Server. Tindakan jahat dilakukan secara lokal di server menggunakan skrip untuk membuat perubahan pada file yang dapat dijalankan yang ada dan tidak memuatnya kembali dari luar.
Penulis proyek memastikan bahwa hanya dia yang memiliki akses administrator ke sistem, akses dibatasi ke alamat IP dan bahwa sistem operasi dasar Windows telah diperbarui dan dilindungi dari serangan luar.
Pada saat yang sama, protokol RDP dan FTP digunakan untuk akses jarak jauh dan perangkat lunak yang berpotensi tidak aman dirilis di mesin virtual, yang dapat menjadi penyebab peretasan.
Namun, penulis Pale Moon menyukai versi di mana peretasan dilakukan karena perlindungan yang tidak memadai dari infrastruktur mesin virtual penyedia (misalnya, situs web OpenSSL diretas melalui pemilihan kata sandi vendor yang tidak tepercaya menggunakan antarmuka manajemen virtualisasi standar )