Autor prohlížeče, Pale Moon, odhalil informace o neoprávněném přístupu na jeden ze serverů z webového prohlížeče „archive.palemoon.org“, který udržoval archiv předchozích verzí prohlížeče až do verze 27.6.2 včetně.
V tomto přístupu útočníci infikovaní malwarem všechny spustitelné soubory na serveru s Instalatéři Pale Moon pro oknos. Podle předběžných údajů výměna malwaru byla provedena 27. prosince 2017 a byla detekována až 9. července 2019, to znamená, že rok a půl zůstal bez povšimnutí.
Server je aktuálně zakázán kvůli vyšetřování. Server, ze kterého byly distribuovány aktuální edice Pale Moon, neutrpěl, problém se týká pouze starých verzí systému Windows nainstalován z již popsaného serveru (staré verze jsou přesunuty na tento server, pokud jsou k dispozici nové verze).
Po získání přístupu útočníci selektivně infikovali všechny soubory exe související s Pale Moon což jsou instalační programy a samorozbalovací soubory se softwarem Trojan Win32 / ClipBanker.DY určeným ke krádeži kryptoměn nahrazením bitcoinových adres ve swapové vyrovnávací paměti.
Spustitelné soubory v souborech zip nejsou ovlivněny. Uživatel by mohl detekovat změny v instalačním programu kontrolou SHA256 připojeného k hashům nebo souborům digitálního podpisu. Použitý malware je také úspěšně detekován všemi příslušnými antivirovými programy.
Během hackování na server Pale Moon autor prohlížeče uvádí, že:
"Server běžel na Windows a byl spuštěn na virtuálním stroji pronajatém od operátora Frantech / BuyVM." "
Zatím není jasné, jaký typ chyby zabezpečení byla zneužita a zda je specifická pro Windows nebo zda ovlivnila spuštěné serverové aplikace třetích stran.
O hacku
26. května 2019, v procesu činnosti na serveru útočníků (není jasné, zda se jedná o stejné útočníky, jako když byl proveden první hack nebo jiné), normální fungování archive.palemoon.org bylo přerušeno- Hostitel se nepodařilo restartovat a data byla poškozena.
Zahrnutí systémových protokolů bylo ztraceno, což by mohlo zahrnovat podrobnější stopy naznačující povahu útoku.
V době tohoto rozhodnutí správci nevěděli o tomto závazku a obnovili práci souboru pomocí nového prostředí založeného na CentOS a nahrazení stahování přes FTP HTTP.
Protože incident nebyl na novém serveru vidět, byly přeneseny záložní soubory, které již byly infikovány.
Při analýze možných příčin kompromisu Předpokládá se, že útočníci získali přístup získáním hesla k účtu od hostujícího personáluZískání fyzického přístupu k serveru, útok na hypervizor, který ovládal další virtuální stroje, hackování do webového ovládacího panelu a zachycení relace vzdálené plochy, bylo relativně jednoduché.
Na druhou stranu se věří, že útočníci použili protokol RDP nebo zneužili chybu zabezpečení v systému Windows Server. Škodlivé akce byly prováděny místně na serveru pomocí skriptu k provedení změn ve stávajících spustitelných souborech a nikoli k jejich opětovnému načtení zvenčí.
Autor projektu zajišťuje, že pouze on měl přístup správce do systému, přístup byl omezen na IP adresu a že základní operační systém Windows byl aktuální a chráněný před vnějšími útoky.
Současně byly pro vzdálený přístup použity protokoly RDP a FTP a na virtuálním stroji byl vydán potenciálně nezabezpečený software, který by mohl být příčinou hackingu.
Autor knihy Pale Moon však upřednostňuje verzi, ve které byl hack proveden, kvůli nedostatečné ochraně infrastruktury virtuálních strojů poskytovatele (například web OpenSSL byl napaden výběrem nedůvěryhodného hesla dodavatele pomocí standardního rozhraní pro správu virtualizace )