Автор браузера Pale Moon раскрыл информацию о несанкционированном доступе к одному из серверов. веб-браузер «archive.palemoon.org», в котором хранятся архивы предыдущих версий браузера до версии 27.6.2 включительно.
В этом доступе злоумышленники заражены вредоносным ПО. все исполняемые файлы на сервере с Установщики Pale Moon для окнас. По предварительным данным, Замена вредоносного ПО произведена 27 декабря 2017 г. и обнаружена только 9 июля 2019 г., то есть полтора года остались незамеченными.
Сервер в настоящее время отключен для исследования. Сервер, с которого распространялись текущие редакции Pale Moon, не пострадал, проблема затрагивает только старые версии Windows установлен с уже описанного сервера (старые версии перемещаются на этот сервер, когда доступны новые версии).
После получения доступа злоумышленники выборочно заразили все exe-файлы, относящиеся к Pale Moon которые являются установщиками и самораспаковывающимися файлами с троянским программным обеспечением Win32 / ClipBanker.DY, предназначенным для кражи криптовалют. путем замены адресов биткойнов в буфере подкачки.
Исполняемые файлы в zip-файлах не затрагиваются.. Пользователь мог обнаружить изменения в установщике, проверив SHA256, прикрепленный к хешам или файлам цифровой подписи. Используемое вредоносное ПО также успешно обнаруживается всеми соответствующими антивирусными программами.
Во время взлома сервера Pale Moon автор браузера сообщает, что:
«Сервер работал под управлением Windows и был запущен на виртуальной машине, арендованной у оператора Frantech / BuyVM. "
Пока неясно, какой тип уязвимости был использован и характерен ли он для Windows или затронул какие-либо запущенные сторонние серверные приложения.
О взломе
26 мая 2019 г., в процессе активности на сервере злоумышленников (неясно, являются ли они теми же злоумышленниками, что и при первом взломе, или другими), нормальное функционирование archive.palemoon.org было нарушено- Хосту не удалось перезагрузить компьютер, и данные были повреждены.
Включение системных журналов потеряно, который может включать более подробные следы, указывающие на характер атаки.
На момент вынесения этого постановления администраторы не знали об обязательстве и они восстановили работу файла, используя новую среду на основе CentOS и заменив загрузку через FTP на HTTP.
Поскольку инцидент не был замечен на новом сервере, файлы резервных копий, которые уже были заражены, были перенесены.
Анализируя возможные причины компрометации, предполагается, что злоумышленники получили доступ, получив пароль для учетной записи от персонала хостинга.Получив физический доступ к серверу, атаковать гипервизор для управления другими виртуальными машинами, взломать веб-панель управления и перехватить сеанс удаленного рабочего стола было относительно просто.
С другой стороны, считается, что злоумышленники использовали RDP или воспользовались уязвимостью в Windows Server.. Вредоносные действия выполнялись локально на сервере с использованием сценария, позволяющего вносить изменения в существующие исполняемые файлы, а не перезагружать их извне.
Автор проекта гарантирует, что доступ администратора к системе был только у него, доступ был ограничен IP-адресом. и что базовая операционная система Windows обновлена и защищена от внешних атак.
В то же время для удаленного доступа использовались протоколы RDP и FTP, а на виртуальной машине было выпущено потенциально небезопасное программное обеспечение, которое могло быть причиной взлома.
Однако автор Pale Moon отдает предпочтение версии, в которой был проведен взлом, из-за недостаточной защиты инфраструктуры виртуальной машины провайдера (например, сайт OpenSSL был взломан путем выбора ненадежного пароля поставщика с использованием стандартного интерфейса управления виртуализацией. )