hacked-pale-moon

El autor del navegador, Pale Moon, reveló información sobre el acceso no autorizado a uno de los servidores del navegador web “archive.palemoon.org”, que mantuvo el archivo de las versiones anteriores del navegador hasta la versión 27.6.2 inclusive.

En este acceso los atacantes infectaron con malware todos los archivos ejecutables del servidor con los instaladores de Pale Moon para Windows. Según datos preliminares, la sustitución de malware se realizó el 27 de diciembre de 2017 y se detectó solo el 9 de julio de 2019, es decir, un año y medio pasó desapercibido.

Actualmente, el servidor está deshabilitado para la investigación. El servidor desde el cual se distribuyeron las ediciones actuales de Pale Moon no sufrió, el problema afecta solo a las versiones antiguas de Windows instaladas desde el servidor ya descrito (las versiones antiguas se mueven a este servidor cuando hay nuevas versiones disponibles).

Después de obtener acceso, los atacantes infectaron selectivamente todos los archivos exe relacionados con Pale Moon los cuales son los instaladores y archivos autoextraíbles con el software Win32 / ClipBanker.DY Trojan destinado a robar las criptomonedas al reemplazar las direcciones de bitcoins en el búfer de intercambio.

Los archivos ejecutables dentro de los archivos zip no se ven afectados. El usuario podría detectar cambios en el instalador al verificar el SHA256 adjunto a los hashes o archivos de firma digital. El malware utilizado también es detectado con éxito por todos los programas antivirus relevantes.

Durante el hackeo al servidor de Pale Moon, el autor del navegador detalla que:

“El servidor funcionó en Windows y se lanzó en una máquina virtual arrendada al operador Frantech / BuyVM. “

Aún no está claro qué tipo de vulnerabilidad se explotó y si es específica de Windows o si afectó a cualquier aplicación de servidor de terceros en ejecución.

Sobre el hackeo

El 26 de mayo de 2019, en el proceso de actividad en el servidor de los atacantes (no está claro si son los mismos atacantes que cuando se realizó el primer hackeo u otros), se rompió el funcionamiento normal de archive.palemoon.org: el host no pudo reiniciar y los datos se dañaron.

La inclusión de registros del sistema se perdió, lo que podría incluir rastreos más detallados que indiquen la naturaleza del ataque.

En el momento de este fallo, los administradores desconocían el compromiso y restauraron el trabajo del archivo usando el nuevo entorno basado en CentOS y reemplazando la descarga a través de FTP con HTTP.

Como el incidente no se vio en el nuevo servidor, se transfirieron los archivos de la copia de respaldo que ya estaban infectados.

Al analizar las posibles causas del compromiso, se asume que los atacantes obtuvieron acceso al obtener una contraseña de una cuenta del personal de hosting, al haber obtenido acceso físico al servidor, realizar un ataque al hipervisor para controlar otras máquinas virtuales, hackear el panel de control web e interceptar una sesión de escritorio remota fue relativamente sencillo.

Por otro lado se cree que los atacantes hicieron usó de RDP o explotaron una vulnerabilidad en Windows Server. Las acciones malintencionadas se realizaron localmente en el servidor usando una secuencia de comandos para realizar cambios en los archivos ejecutables existentes y no volviéndolos a cargar desde el exterior.

El autor del proyecto asegura que solo él tenía acceso de administrador en el sistema, el acceso estaba limitado a una dirección IP y que el sistema operativo básico de Windows estaba actualizado y protegido de ataques externos.

Al mismo tiempo, se usaron los protocolos RDP y FTP para el acceso remoto y se lanzó un software potencialmente inseguro en la máquina virtual, lo que podría ser una causa del hackeo.

Sin embargo, el autor de Pale Moon se inclina por la versión en la que se realizó el hackeo debido a una protección insuficiente de la infraestructura de las máquinas virtuales del proveedor (por ejemplo, el sitio web de OpenSSL se hackeó através de la selección de una contraseña de proveedor no confiable mediante la interfaz de administración de virtualización estándar ).

 

Fuente: ubunlog

¿Quién está en línea?

Hay 3188 invitados y ningún miembro en línea