Pale Moon brauzerinin müəllifi
Problemli server hazırda araşdırma üçün sıradan çıxıb. Cari buraxılışların paylandığı server
Pale Moon təsirlənmir, yalnız arxivdən quraşdırılmış köhnə Windows versiyaları təsirlənir (yeni versiyalar çıxan kimi buraxılışlar arxivə köçürülür). Hack zamanı server Windows ilə işləyirdi və Frantech/BuyVM-dən icarəyə götürülmüş virtual maşında işləyirdi. Hansı boşluqdan istifadə edilib və bunun Windows-a xas olub-olmaması və ya bəzi işləyən üçüncü tərəf server proqramlarına təsir edib-etməməsi hələ aydın deyil.
Giriş əldə etdikdən sonra təcavüzkarlar seçmə yolu ilə Pale Moon ilə əlaqəli bütün exe fayllarını (quraşdırıcılar və öz-özünə açılan arxivlər) troyanlarla yoluxdurdular.
26 may 2019-cu il tarixində hücumçuların serverində aktivlik zamanı (bunların birinci hack və ya digərləri zamanı olduğu kimi eyni hücumçular olduğu aydın deyil) archive.palemoon.org saytının normal fəaliyyəti pozuldu - host yenidən işə düşə bilmədi. , və məlumatlar pozuldu. Hücumun xarakterini göstərən daha təfərrüatlı izləri ehtiva edən sistem qeydləri də daxil olmaqla itirildi. Bu uğursuzluq zamanı administratorlar kompromisdən xəbərsiz idilər və CentOS-a əsaslanan yeni mühitdən istifadə edərək və FTP yükləməsini HTTP ilə əvəz edərək arxivi bərpa etdilər. Hadisə müşahidə olunmadığından, artıq yoluxmuş ehtiyat nüsxədən olan fayllar yeni serverə köçürüldü.
Mümkün kompromis səbəblərini təhlil edərək, güman edilir ki, təcavüzkarlar hosting heyətinin hesabına parolu təxmin etməklə, serverə birbaşa fiziki giriş əldə etməklə, digər virtual maşınlar üzərində nəzarəti əldə etmək üçün hipervizora hücum edərək, veb idarəetmə panelini sındırmaqla, uzaq masa üstü seansı ələ keçirmək (RDP protokolundan istifadə etməklə) və ya Windows Serverdəki boşluqdan istifadə etməklə. Zərərli hərəkətlər kənardan onları yenidən yükləmək yolu ilə deyil, mövcud icra olunan fayllarda dəyişiklik etmək üçün skriptdən istifadə etməklə serverdə lokal olaraq həyata keçirilib.
Layihənin müəllifi iddia edir ki, sistemə yalnız onun administrator girişi olub, giriş bir İP ünvanla məhdudlaşıb və əsas Windows əməliyyat sistemi yenilənib və xarici hücumlardan qorunub. Eyni zamanda uzaqdan giriş üçün RDP və FTP protokollarından istifadə edilib və virtual maşında sındırmaya səbəb ola biləcək potensial təhlükəli proqram təminatı işə salınıb. Bununla belə, Pale Moon müəllifi provayderdə virtual maşın infrastrukturunun kifayət qədər mühafizəsi olmadığı (məsələn, bir vaxtlar standart virtualizasiya idarəetmə interfeysindən istifadə edərək etibarsız provayder parolunun seçilməsi yolu ilə) sındırılmanın törədildiyi versiyaya meyllidir.
Mənbə: opennet.ru