Pale Moon brauzerinin müəllifi 27.6.2 daxil olmaqla keçmiş brauzer buraxılışlarının arxivini saxlayan archive.palemoon.org serverinin kompromisləri haqqında məlumat. Hack zamanı təcavüzkarlar serverdə yerləşdirilmiş Windows üçün Pale Moon quraşdırıcıları ilə bütün icra edilə bilən faylları zərərli proqram təminatı ilə yoluxdurmuşlar. İlkin məlumatlara görə, zərərli proqram təminatının dəyişdirilməsi 27 dekabr 2017-ci ildə edilib və yalnız 9 iyul 2019-cu ildə aşkar edilib, yəni. il yarım diqqətdən kənarda qaldı.
Problemli server hazırda araşdırma üçün sıradan çıxıb. Cari buraxılışların paylandığı server
Pale Moon təsirlənmir, yalnız arxivdən quraşdırılmış köhnə Windows versiyaları təsirlənir (yeni versiyalar çıxan kimi buraxılışlar arxivə köçürülür). Hack zamanı server Windows ilə işləyirdi və Frantech/BuyVM-dən icarəyə götürülmüş virtual maşında işləyirdi. Hansı boşluqdan istifadə edilib və bunun Windows-a xas olub-olmaması və ya bəzi işləyən üçüncü tərəf server proqramlarına təsir edib-etməməsi hələ aydın deyil.
Giriş əldə etdikdən sonra təcavüzkarlar seçmə yolu ilə Pale Moon ilə əlaqəli bütün exe fayllarını (quraşdırıcılar və öz-özünə açılan arxivlər) troyanlarla yoluxdurdular. , mübadilə buferində bitkoin ünvanlarını əvəz etməklə kriptovalyuta oğurlamağa yönəlib. Zip arxivlərindəki icra edilə bilən fayllar təsirlənmir. Quraşdırıcıdakı dəyişikliklər istifadəçi tərəfindən rəqəmsal imzaları və ya fayllara əlavə edilmiş SHA256 heşlərini yoxlamaqla aşkar edilmiş ola bilər. İstifadə olunan zərərli proqram da uğurludur ən müasir antiviruslar.
26 may 2019-cu il tarixində hücumçuların serverində aktivlik zamanı (bunların birinci hack və ya digərləri zamanı olduğu kimi eyni hücumçular olduğu aydın deyil) archive.palemoon.org saytının normal fəaliyyəti pozuldu - host yenidən işə düşə bilmədi. , və məlumatlar pozuldu. Hücumun xarakterini göstərən daha təfərrüatlı izləri ehtiva edən sistem qeydləri də daxil olmaqla itirildi. Bu uğursuzluq zamanı administratorlar kompromisdən xəbərsiz idilər və CentOS-a əsaslanan yeni mühitdən istifadə edərək və FTP yükləməsini HTTP ilə əvəz edərək arxivi bərpa etdilər. Hadisə müşahidə olunmadığından, artıq yoluxmuş ehtiyat nüsxədən olan fayllar yeni serverə köçürüldü.
Mümkün kompromis səbəblərini təhlil edərək, güman edilir ki, təcavüzkarlar hosting heyətinin hesabına parolu təxmin etməklə, serverə birbaşa fiziki giriş əldə etməklə, digər virtual maşınlar üzərində nəzarəti əldə etmək üçün hipervizora hücum edərək, veb idarəetmə panelini sındırmaqla, uzaq masa üstü seansı ələ keçirmək (RDP protokolundan istifadə etməklə) və ya Windows Serverdəki boşluqdan istifadə etməklə. Zərərli hərəkətlər kənardan onları yenidən yükləmək yolu ilə deyil, mövcud icra olunan fayllarda dəyişiklik etmək üçün skriptdən istifadə etməklə serverdə lokal olaraq həyata keçirilib.
Layihənin müəllifi iddia edir ki, sistemə yalnız onun administrator girişi olub, giriş bir İP ünvanla məhdudlaşıb və əsas Windows əməliyyat sistemi yenilənib və xarici hücumlardan qorunub. Eyni zamanda uzaqdan giriş üçün RDP və FTP protokollarından istifadə edilib və virtual maşında sındırmaya səbəb ola biləcək potensial təhlükəli proqram təminatı işə salınıb. Bununla belə, Pale Moon müəllifi provayderdə virtual maşın infrastrukturunun kifayət qədər mühafizəsi olmadığı (məsələn, bir vaxtlar standart virtualizasiya idarəetmə interfeysindən istifadə edərək etibarsız provayder parolunun seçilməsi yolu ilə) sındırılmanın törədildiyi versiyaya meyllidir. OpenSSL saytı).
Mənbə: opennet.ru