Avtor brskalnika Pale Moon je razkril informacije o nepooblaščenem dostopu do enega od strežnikov iz spletnega brskalnika “archive.palemoon.org”, ki je hranil arhiv prejšnjih različic brskalnika do vključno različice 27.6.2.
V tem dostopu so napadalci okuženi z zlonamerno programsko opremo vse izvršljive datoteke na strežniku z Monterji Pale Moon za oknos. Po predhodnih podatkih zamenjava zlonamerne programske opreme je bila izvedena 27. decembra 2017 in je bila zaznana šele 9. julija 2019, to je leto in pol ostalo neopaženo.
Strežnik je trenutno onemogočen za preiskavo. Strežnik, s katerega so bile distribuirane trenutne izdaje Pale Moon, ni trpel, težava prizadene samo stare različice sistema Windows nameščena iz že opisanega strežnika (stare različice se premaknejo na ta strežnik, ko so na voljo nove različice).
Po pridobitvi dostopa napadalci so selektivno okužili vse datoteke exe, povezane s Pale Moon ki so namestitveni programi in datoteke, ki se samoraztezajo s trojansko programsko opremo Win32 / ClipBanker.DY, namenjeno kraji kriptovalut z zamenjavo naslovov bitcoin v medpomnilniku za zamenjavo.
Izvršljive datoteke v zip datotekah ne vplivajo. Uporabnik je lahko zaznal spremembe v namestitvenem programu tako, da je preveril SHA256, pritrjen na zgoščene datoteke ali datoteke z digitalnim podpisom. Uporabljeno zlonamerno programsko opremo uspešno zaznajo tudi vsi ustrezni protivirusni programi.
Med vdorom v strežnik Pale Moon avtor brskalnika podrobno navede, da:
»Strežnik je deloval v sistemu Windows in je bil zagnan na navideznem računalniku, zakupljenem pri operaterju Frantech / BuyVM. "
Zaenkrat še ni jasno, kakšna vrsta ranljivosti je bila izkoriščena in ali je značilna za Windows ali je vplivala na delujoče strežniške programe drugih proizvajalcev.
Glede kramp
26. maja 2019 v postopku aktivnosti na strežniku napadalcev (ni jasno, ali gre za iste napadalce kot takrat, ko je bil izveden prvi kramp ali drugi), normalno delovanje archive.palemoon.org je bilo prekinjeno- Gostitelj se ni znal znova zagnati in podatki so bili poškodovani.
Vključitev sistemskih dnevnikov je bila izgubljena, ki bi lahko vključeval podrobnejše sledi, ki kažejo naravo napada.
V času razsodbe upravitelji zaveze niso poznali datoteko so obnovili v novem okolju, ki temelji na CentOS-u, in prenesli prenos prek FTP-ja s HTTP-jem.
Ker incidenta na novem strežniku niso videli, datoteke z varnostno kopijo, ki so bile že okužene, so bile prenesene.
Pri analizi možnih vzrokov za kompromis Predvideva se, da so napadalci dostop dobili tako, da so od gostiteljskega osebja dobili geslo za računPo fizičnem dostopu do strežnika je bil napad na hipervizor za nadzor drugih navideznih strojev, vdor v spletno nadzorno ploščo in prestrezanje seje oddaljenega namizja razmeroma preprost.
Po drugi strani se domneva, da so napadalci uporabljali RDP ali izkoriščali ranljivost v Windows Serverju. Zlonamerna dejanja so bila izvedena lokalno na strežniku s pomočjo skripta za spreminjanje obstoječih izvedljivih datotek in jih ni bilo treba ponovno naložiti od zunaj.
Avtor projekta zagotavlja, da je imel le sistemski dostop do sistema, dostop pa je bil omejen na naslov IP in da je bil osnovni operacijski sistem Windows posodobljen in zaščiten pred zunanjimi napadi.
Hkrati sta bila za oddaljeni dostop uporabljena protokola RDP in FTP, na virtualnem računalniku pa je bila izdana potencialno nevarna programska oprema, kar bi lahko bil vzrok za kramp.
Vendar avtor Bele lune podpira različico, v kateri je bil vdoren zaradi nezadostne zaščite infrastrukture ponudnika navideznih strojev (na primer spletno mesto OpenSSL je bilo vdrto z izbiro gesla nezaupnega prodajalca s standardnim vmesnikom za upravljanje virtualizacije )