LINUX.ORG.RU
ФорумTalks

Внедрение вредоносного ПО в архивные, старые версий Pale Moon

 , ,


0

1

Пострадали только windows-версии.

Автор браузера Pale Moon раскрыл сведения о компрометации сервера archive.palemoon.org, на котором хранился архив прошлых выпусков браузера до версии 27.6.2 включительно. В ходе взлома атакующие инфицировали вредоносным ПО все размещённые на сервере исполняемые файлы с инсталляторами Pale Moon для Windows. По предварительным данным подстановка вредоносного ПО была совершена ещё 27 декабря 2017 года, а выявлена только 9 июля 2019 года, т.е. полтора года оставалась незамеченной.

В настоящее время проблемный сервер отключен для проведения разбирательства. Сервер с которого распространялись актуальные выпуски Pale Moon не пострадал, проблема затрагивает только старые Windows-версии, установленные из архива (выпуски перемещаются в архив по мере выхода новых версий). Во время взлома сервер работал по управлением Windows и был запущен в виртуальной машине, арендованной у оператора Frantech/BuyVM. Какая именно уязвимость была эксплуатирована и специфична ли она для Windows или затрагивала какие-то запущенные сторонние серверные приложения пока не ясно.

После получения доступа атакующие выборочно инфицировали все exe-файлы, связанные с Pale Moon (инталляторы и самораспаковывающиеся архивы), троянским ПО Win32/ClipBanker.DY, нацеленным на кражу криптовалюты через подмену bitcoin-адресов в буфере обмена. Исполняемые файлы внутри архивов zip не поражены. Изменения в установщике могли быть выявлены пользователем при проверке прилагаемых к файлам цифровых подписей или хэшей SHA256. Используемое вредоносное ПО также успешно выявляется всеми актуальными антивирусами.

26 мая 2019 года в процессе активности на сервере злоумышленников (не ясно те же это атакующие, что при первом взломе или другие), нормальная работоспособность archive.palemoon.org была нарушена - хост не смог перезагрузиться, а данные были повреждены. В том числе были потеряны системные логи, которые могли включать более детальные следы, свидетельствующие о характере атаки. В момент данного сбоя администраторы не подозревали о компрометации и восстановили работу архива, используя новое окружение на основе CentOS и заменив загрузку через FTP на HTTP. Так как инцидент не был замечен на новый сервер были перенесены файлы из резервной копии, которые уже были инфицированы.

Разбирая возможные причины компрометации предполагается, что атакующие получили доступ подобрав пароль к учётной записи персонала хостинга, получив прямой физический доступ к серверу, выполнив атаку на гипервизор для получения контроля за другими виртуальными машинами, взломав web-панель управления, перехватив сеанс удалённого обращения к рабочему столу (использовался протокол RDP) или эксплуатировав уязвимость в Windows Server. Вредоносные действия были произведены локально на сервере с использованием скрипта для внесения изменений в уже имеющиеся исполняемые файлы, а не путём их повторной загрузки извне.

Автор проекта уверяет, что только он имел доступ администратора в системе, доступ был ограничен одним IP-адресом, а базовая ОС Windows была обновлена и защищена от внешних атак. При этом для удалённого доступа использовались протоколы RDP и FTP, а также на виртуальной машине запускалось потенциально небезопасное ПО, что могло стать причиной взлома. Тем не менее, автор Pale Moon склоняется к версии, что взлом был совершён из-за недостаточно защиты инфраструктуры виртуальных машин у провайдера (например, в своё время через подбор ненадёжного пароля провайдера при помощи штатного интерфейса управления виртуализацией был взломан сайт OpenSSL.

Подробности

Перемещено Shaman007 из security

Deleted

В настоящее время проблемный сервер отключен для проведения разбирательства.

Уже новый поднят.

xaizek ★★★★★ ()

Не виноватая я, он сам пришёл!

mandala ★★★★ ()
Ответ на: комментарий от mandala

Ну не сами же они вирус вшивали %)

Deleted ()
Ответ на: комментарий от Deleted

Ну признался бы админ, что сам принес – в смысле через него и протекло. В большинстве случаев компрометация происходит как раз через юзерские тачки.

mandala ★★★★ ()
Ответ на: комментарий от Deleted

Ну хз, обычно озвучивают или все версии, или воздерживаются. А сейчас это выглядит как детская отмазка.

mandala ★★★★ ()

my homepage with pet project was hacked

Ужас-то какой, никогда такого не было и вот опять.

K22 ()
Ответ на: комментарий от K22

вот когда так напишет Линус Торвальдс, тогда и приходите?

subwoofer ★★★★★ ()
Ответ на: комментарий от subwoofer

Ну типа того. Сколько там у фаерфокса пользователей? 5%? А у этой фигни - 0.1% от тех 5?

K22 ()
Ответ на: комментарий от fsb4000

Ну видишь, не сильно ошибся. А если смотреть не только десктоп, а вообще, то угадал с поразительной точностью.

K22 ()

Тот редкий случай, когда всем все равно.

Пользователи сабжа слишком фанатичны, поэтому для них это не проблема.

Не пользователей тоже не удивишь, что наколенный проект закинули, позаражав Файлы, и это полтора года никто не замечал.

А через пару недель и все забудут 🙂

fornlr ★★★★★ ()
Последнее исправление: fornlr (всего исправлений: 1)

По предварительным данным подстановка вредоносного ПО была совершена ещё 27 декабря 2017 года, а выявлена только 9 июля 2019 года, т.е. полтора года оставалась незамеченной.

Всё, что нужно знать о нужности этого поделия.

meliafaro ★★★★ ()

базовая ОС Windows была обновлена и защищена от внешних атак
При этом для удалённого доступа использовались протоколы RDP и FTP

Винда с рдп голой жопой в интернет выставлена? Действительно, ну что могло пойти не так.

gremlin_the_red ()
Ответ на: комментарий от fornlr

это полтора года никто не замечал.

2-3 месяца:

With the help of some of our community members, we’ve been able to narrow down when the data breach occurred to a much more recent date: Somewhere between April (last known good state) and the start of June (when the server’s usability was destroyed) in 2019.

xaizek ★★★★★ ()
Закрыто добавление комментариев для недавно зарегистрированных пользователей (со score < 50)