Автор браузера Pale Moon розкрив інформацію про несанкціонований доступ до одного із серверів з веб-браузера “archive.palemoon.org”, який зберігав архів попередніх версій браузера до версії 27.6.2 включно.
У цьому доступі зловмисники заражаються шкідливим програмним забезпеченням всі виконувані файли на сервері з Блідомісячні установники для вікнаs. За попередніми даними, заміна шкідливого програмного забезпечення була проведена 27 грудня 2017 року та виявлена лише 9 липня 2019 року, тобто півтора року залишилися непоміченими.
Наразі сервер вимкнено для дослідження. Сервер, з якого розповсюджувались поточні видання Pale Moon, не постраждав, проблема стосується лише старих версій Windows встановлюється з уже описаного сервера (старі версії переміщуються на цей сервер, коли доступні нові версії).
Отримавши доступ, зловмисники вибірково заражали всі файли exe, пов'язані з Блідою Місяцем які є установниками та саморозпаковуються файлами з троянським програмним забезпеченням Win32 / ClipBanker.DY, призначеним для крадіжки криптовалют шляхом заміни біткойн-адрес у буфері свопу.
На виконувані файли у zip-файлах це не впливає. Користувач міг виявити зміни в програмі встановлення, перевіривши SHA256, прикріплений до хешів або файлів цифрового підпису. Шкідливе програмне забезпечення також успішно виявляють усі відповідні антивірусні програми.
Під час зламу сервера Pale Moon автор браузера розповідає, що:
«Сервер працював у Windows і запускався на віртуальній машині, орендованій у оператора Frantech / BuyVM. "
Поки незрозуміло, який тип вразливості використовувався та чи характерний він для Windows, чи впливав він на будь-які запущені сторонні серверні програми.
Про хак
26 травня 2019 року, в процесі активності на сервері зловмисників (незрозуміло, чи є вони тими самими зловмисниками, що і під час першого злому, або іншими), було порушено нормальне функціонування archive.palemoon.org- Хосту не вдалося перезавантажитись, і дані пошкоджені.
Включення системних журналів було втрачено, який може включати більш детальні сліди, що вказують на характер нападу.
На момент винесення цього рішення адміністратори не знали про це зобов'язання і вони відновили роботу файлу, використовуючи нове середовище на базі CentOS і замінивши завантаження через FTP на HTTP.
Оскільки інциденту не було видно на новому сервері, файли резервних копій, які вже були заражені, були передані.
Аналізуючи можливі причини компромісу, Припускають, що зловмисники отримали доступ, отримавши пароль для облікового запису від хостинг-персоналуОтримавши фізичний доступ до сервера, атакувати гіпервізор для управління іншими віртуальними машинами, зламати веб-панель управління та перехопити сеанс віддаленого робочого столу було відносно просто.
З іншого боку, вважається, що зловмисники використовували RDP або використовували вразливість у Windows Server. Шкідливі дії виконувались локально на сервері, використовуючи скрипт для внесення змін до існуючих виконуваних файлів і не перезавантажуючи їх ззовні.
Автор проекту гарантує, що лише він мав доступ адміністратора до системи, доступ був обмежений IP-адресою і що основна операційна система Windows була сучасною та захищена від зовнішніх атак.
Одночасно для віддаленого доступу використовувались протоколи RDP та FTP, а на віртуальній машині було випущено потенційно небезпечне програмне забезпечення, що могло стати причиною зламу.
Однак автор Pale Moon підтримує версію, в якій було здійснено злом через недостатній захист інфраструктури віртуальних машин провайдера (наприклад, веб-сайт OpenSSL було зламано шляхом вибору пароля ненадійного постачальника за допомогою стандартного інтерфейсу управління віртуалізацією )