Autor prehliadača Pale Moon odhalil informácie o neoprávnenom prístupe k jednému zo serverov z webového prehliadača „archive.palemoon.org“, ktorý udržiaval archív predchádzajúcich verzií prehľadávača až do verzie 27.6.2 vrátane.
V tomto prístupe sú útočníci infikovaní malvérom všetky spustiteľné súbory na serveri s Inštalatéri projektu Pale Moon pre oknos. Podľa predbežných údajov výmena malvéru bola vykonaná 27. decembra 2017 a bola zistená až 9. júla 2019, teda rok a pol ostali nepovšimnuté.
Server je momentálne zakázaný na prešetrenie. Server, z ktorého boli distribuované súčasné vydania Pale Moon, neutrpel utrpenie, problém sa týka iba starých verzií systému Windows nainštalované z už popísaného servera (staré verzie sa presunú na tento server, keď budú k dispozícii nové verzie).
Po získaní prístupu útočníci selektívne infikovali všetky súbory exe súvisiace s Pale Moon čo sú inštalačné programy a samorozbaľovacie súbory so softvérom Win32 / ClipBanker.DY trójsky kôň zameraný na kradnutie kryptomien nahradením bitcoinových adries vo swapovom buffri.
Spustiteľné súbory v súboroch ZIP nebudú ovplyvnené. Užívateľ mohol zistiť zmeny v inštalátore kontrolou SHA256 pripojeného k hašovacím súborom alebo súborom digitálneho podpisu. Použitý malware je tiež úspešne detekovaný všetkými príslušnými antivírusovými programami.
Počas hackovania na server Pale Moon autor prehliadača upresňuje, že:
„Server bežal na Windows a bol spustený na virtuálnom stroji prenajatom od operátora Frantech / BuyVM. „
Zatiaľ nie je jasné, aký typ chyby zabezpečenia bol zneužitý a či je špecifická pre Windows, alebo či ovplyvnila spustené serverové aplikácie tretích strán.
O hacke
26. mája 2019, v procese aktivity na serveri útočníkov (nie je jasné, či ide o rovnakých útočníkov, ako keď bol vykonaný prvý hacker alebo iné), normálne fungovanie archívu.palemoon.org bolo narušené- Hostiteľ sa nepodarilo reštartovať a údaje boli poškodené.
Zahrnutie systémových protokolov sa stratilo, ktoré by mohli obsahovať podrobnejšie stopy naznačujúce povahu útoku.
V čase rozhodovania správcovia o tomto záväzku nevedeli a obnovili prácu súboru pomocou nového prostredia založeného na systéme CentOS a nahradili sťahovanie pomocou FTP protokolom HTTP.
Pretože incident nebol na novom serveri viditeľný, boli prenesené záložné súbory, ktoré už boli infikované.
Pri analýze možných príčin kompromisu Predpokladá sa, že útočníci získali prístup získaním hesla k účtu od hostiteľského personáluZískanie fyzického prístupu na server, napadnutie hypervízora, ktorý ovládal ďalšie virtuálne stroje, nabúranie do webového ovládacieho panela a zachytenie relácie vzdialenej pracovnej plochy, bolo pomerne jednoduché.
Na druhej strane sa verí, že útočníci použili protokol RDP alebo zneužili chybu zabezpečenia v systéme Windows Server. Škodlivé akcie sa vykonávali lokálne na serveri pomocou skriptu, ktorý slúžil na vykonanie zmien v existujúcich spustiteľných súboroch a nie na opätovné načítanie zvonku.
Autor projektu zaisťuje, že do systému mal prístup iba administrátor, prístup bol obmedzený na IP adresu a že základný operačný systém Windows bol aktuálny a chránený pred útokmi zvonka.
Zároveň sa na vzdialený prístup používali protokoly RDP a FTP a na virtuálnom stroji sa uvoľnil potenciálne nezabezpečený softvér, ktorý mohol byť príčinou hackingu.
Autor knihy Pale Moon však uprednostňuje verziu, v ktorej bol hack vykonaný z dôvodu nedostatočnej ochrany infraštruktúry virtuálnych strojov poskytovateľa (napríklad web OpenSSL bol napadnutý výberom nedôveryhodného hesla dodávateľa pomocou štandardného rozhrania pre správu virtualizácie. )