Взлом одного из серверов проекта Pale Moon с внедрением вредоносного ПО в архив старых выпусков

Aвтoр брaузeрa Pale Moon рaскрыл свeдeния o кoмпрoмeтaции сeрвeрa archive.palemoon.org, нa кoтoрoм xрaнился aрxив прoшлыx выпускoв брaузeрa дo вeрсии 27.6.2 включитeльнo. В xoдe взлoмa aтaкующиe инфицировали вредоносным Согласно все размещённые на сервере исполняемые файлы с инсталляторами Pale Moon к Windows. По предварительным данным замещение вредоносного ПО была совершена сызнова 27 декабря 2017 года, а выявлена не менее 9 июля 2019 года, т.е. полтора лета оставалась незамеченной. В настоящее время проблемный сервер отключен к проведения разбирательства. Сервер с которого распространялись актуальные выпуски Pale Moon никак не пострадал, проблема затрагивает только старые Windows-версии, установленные с архива (выпуски перемещаются в архив после мере выхода новых версий). Умереть и не встать время взлома сервер работал согласно управлением Windows и был запущен в виртуальной машине, арендованной у оператора Frantech/BuyVM. Какая особенно уязвимость была эксплуатирована и специфична ли симпатия для Windows или затрагивала какие-в таком случае запущенные сторонние серверные приложения это) (же) (самое) время не ясно. После получения доступа атакующие выборочно инфицировали повально exe-файлы, связанные с Pale Moon (инталляторы и самораспаковывающиеся архивы), троянским Ровно по Win32/ClipBanker.DY, нацеленным на кражу криптовалюты сквозь подмену bitcoin-адресов в буфере обмена. Исполняемые файлы изнутри. Ant. снаружи архивов zip не поражены. Изменения в установщике могли толкать(ся) выявлены пользователем при проверке прилагаемых к файлам цифровых подписей река хэшей SHA256. 26 мая 2019 лета в процессе активности на сервере злоумышленников (невыгодный ясно те же это атакующие, подобно как при первом взломе или оставшиеся), нормальная работоспособность archive.palemoon.org была нарушена - хост далеко не смог перезагрузиться, а данные были повреждены. В томик числе были потеряны системные логи, которые могли прилагать. Ant. исключать более детальные следы, свидетельствующие о характере атаки. В пора данного сбоя администраторы не подозревали о компрометации и восстановили работу архива, используя новое блокада на основе CentOS и заменив загрузку из-за FTP на HTTP. Так как приключение не был замечен на новейший сервер были перенесены файлы с резервной копии, которые уже были инфицированы. Вредоносные поступки были произведены локально на сервере с использованием скрипта ради внесения изменений в уже имеющиеся исполняемые файлы, а мало-: неграмотный путём их повторной загрузки наружи. Автор проекта уверяет, что точию он имел доступ администратора в системе, вход был ограничен одним IP-адресом, а базовая ОС Windows была обновлена и защищена через внешних атак. При этом исполнение) удалённого доступа использовались протоколы RDP и FTP, а тоже на виртуальной машине запускалось потенциально небезопасное Согласно, что могло стать причиной взлома. Тем безграмотный менее, автор Pale Moon склоняется к версии, а взлом был совершён из-ради недостаточно защиты инфраструктуры виртуальных машин у провайдера (скажем, в своё время через подбор ненадёжного пароля провайдера рядом помощи штатного интерфейса управления виртуализацией был взломан сайт OpenSSL). Акратотерм: http://www.opennet.ru/opennews/art.shtml?num=51071