Naršyklės autorius Pale Moon atskleidė informaciją apie neteisėtą prieigą prie vieno iš serverių iš interneto naršyklės „archive.palemoon.org“, kuri tvarkė ankstesnių naršyklės versijų archyvą iki 27.6.2 imtinai.
Šioje prieigoje užpuolikai yra užkrėsti kenkėjiška programa visus vykdomuosius failus serveryje su Pale Moon montuotojai už langąs. Pirminiais duomenimis, kenkėjiškų programų pakeitimas atliktas 27 m. gruodžio 2017 d. ir aptiktas tik 9 m. liepos 2019 d., tai yra, pusantrų metų praėjo nepastebimai.
Šiuo metu serveris išjungtas, kad būtų galima atlikti tyrimus. Serveris, iš kurio buvo platinami dabartiniai Pale Moon leidimai, nenukentėjo, Problema turi įtakos tik senesnėms „Windows“ versijoms įdiegta iš jau aprašyto serverio (senos versijos perkeliamos į šį serverį, kai atsiranda naujų versijų).
Gavęs prieigą, užpuolikai selektyviai užkrėtė visus exe failus, susijusius su Pale Moon kurios yra diegimo programos ir savaime išskleidžiami failai su Win32/ClipBanker.DY Trojan programine įranga, skirta vogti kriptovaliutas keičiant bitkoinų adresus mainų buferyje.
Vykdomieji failai ZIP failuose neturi įtakos. Vartotojas gali aptikti diegimo programos pakeitimus, patikrinęs SHA256, pridėtą prie maišos arba skaitmeninio parašo failų. Naudojamą kenkėjišką programą taip pat sėkmingai aptinka visos atitinkamos antivirusinės programos.
Per „Pale Moon“ serverio įsilaužimą naršyklės autorius nurodo, kad:
„Serveris veikė „Windows“ operacinėje sistemoje ir buvo paleistas virtualioje mašinoje, išsinuomotoje iš operatoriaus Frantech / BuyVM. “
Kol kas neaišku, kokio tipo pažeidžiamumas buvo išnaudotas ir ar jis būdingas „Windows“, ar jis paveikė veikiančias trečiųjų šalių serverių programas.
Apie įsilaužimą
26 m. gegužės 2019 d., vykdant veiklą užpuolikų serveryje (neaišku, ar tai tie patys užpuolikai, kaip ir tada, kai buvo atliktas pirmasis įsilaužimas, ar kiti), sutriko normalus archive.palemoon.org veikimas- Prieglobos nepavyko paleisti iš naujo ir duomenys buvo sugadinti.
Sistemos žurnalų įtraukimas buvo prarastas, kuriame galėtų būti išsamesnių pėdsakų, nurodančių atakos pobūdį.
Šio nutarimo priėmimo metu administratoriai apie įsipareigojimą nežinojo ir atkurtas failų darbas naudojant naują CentOS aplinką ir atsisiuntimą per FTP pakeičiant HTTP.
Kadangi incidentas nebuvo matomas naujajame serveryje, Atsarginės kopijos failai, kurie jau buvo užkrėsti, buvo perkelti.
Analizuojant galimas kompromiso priežastis, Daroma prielaida, kad užpuolikai gavo prieigą gavę prieglobos personalo paskyros slaptažodį, gavus fizinę prieigą prie serverio, įvykdyti ataką prieš hipervizorių valdyti kitas virtualias mašinas, įsilaužti į žiniatinklio valdymo skydelį ir perimti nuotolinio darbalaukio seansą buvo gana paprasta.
Kita vertus, manoma, kad užpuolikai naudojo KPP arba išnaudojo „Windows Server“ pažeidžiamumą. Kenkėjiški veiksmai buvo atlikti vietoje serveryje, naudojant scenarijų, kad būtų atlikti esamų vykdomųjų failų pakeitimai, o ne įkeliant juos iš išorės.
Projekto autorius teigia, kad tik jis turėjo administratoriaus prieigą prie sistemos, prieiga buvo apribota IP adresu ir kad pagrindinė Windows operacinė sistema buvo atnaujinta ir apsaugota nuo išorinių atakų.
Tuo pačiu metu nuotolinei prieigai buvo naudojami RDP ir FTP protokolai, o virtualioje mašinoje buvo išleista potencialiai nesaugi programinė įranga, kuri galėjo būti įsilaužimo priežastis.
Tačiau Pale Moon autorius linksta į versiją, kurioje buvo įsilaužimas dėl nepakankamos tiekėjo virtualių mašinų infrastruktūros apsaugos (pavyzdžiui, į OpenSSL svetainę buvo įsilaužta pasirinkus nepatikimą teikėjo slaptažodį naudojant standartą virtualizacijos valdymo sąsaja)