Συγγραφέας του προγράμματος περιήγησης Pale Moon
Ο προβληματικός διακομιστής είναι προς το παρόν εκτός σύνδεσης για διερεύνηση. Διακομιστής από τον οποίο διανεμήθηκαν οι τρέχουσες εκδόσεις
Το Pale Moon δεν επηρεάζεται, το πρόβλημα επηρεάζει μόνο παλιές εκδόσεις των Windows που είναι εγκατεστημένες από το αρχείο (οι κυκλοφορίες μετακινούνται στο αρχείο καθώς κυκλοφορούν νέες εκδόσεις). Κατά τη διάρκεια της εισβολής, ο διακομιστής εκτελούσε Windows και λειτουργούσε σε μια εικονική μηχανή που νοικιάστηκε από τον χειριστή Frantech/BuyVM. Δεν είναι ακόμη σαφές τι είδους ευπάθεια έγινε αντικείμενο εκμετάλλευσης και εάν αφορούσε συγκεκριμένα τα Windows ή εάν επηρέαζε ορισμένες εφαρμογές διακομιστή τρίτων κατασκευαστών.
Αφού απέκτησαν πρόσβαση, οι εισβολείς μόλυναν επιλεκτικά όλα τα αρχεία exe που σχετίζονται με το Pale Moon (εγκαταστάτες και αρχεία αυτοεξαγωγής) με λογισμικό Trojan
Στις 26 Μαΐου 2019, κατά τη διάρκεια της δραστηριότητας στον διακομιστή των εισβολέων (δεν είναι σαφές εάν αυτοί ήταν οι ίδιοι εισβολείς όπως στο πρώτο hack ή άλλοι), η κανονική λειτουργία του archive.palemoon.org διακόπηκε - ο οικοδεσπότης δεν μπόρεσε για επανεκκίνηση και τα δεδομένα ήταν κατεστραμμένα. Αυτό περιελάμβανε την απώλεια αρχείων καταγραφής συστήματος, τα οποία θα μπορούσαν να περιλαμβάνουν πιο λεπτομερή ίχνη που υποδεικνύουν τη φύση της επίθεσης. Τη στιγμή αυτής της αποτυχίας, οι διαχειριστές δεν γνώριζαν τον συμβιβασμό και επανέφεραν το αρχείο σε λειτουργία χρησιμοποιώντας ένα νέο περιβάλλον που βασίζεται στο CentOS και αντικαθιστώντας τις λήψεις FTP με HTTP. Επειδή το περιστατικό δεν έγινε αντιληπτό, τα αρχεία από το αντίγραφο ασφαλείας που είχαν ήδη μολυνθεί μεταφέρθηκαν στον νέο διακομιστή.
Αναλύοντας τους πιθανούς λόγους για τον συμβιβασμό, υποτίθεται ότι οι επιτιθέμενοι απέκτησαν πρόσβαση μαντεύοντας τον κωδικό πρόσβασης στον λογαριασμό του προσωπικού φιλοξενίας, αποκτώντας άμεση φυσική πρόσβαση στον διακομιστή, επιτίθενται στον hypervisor για να αποκτήσουν έλεγχο σε άλλες εικονικές μηχανές, παραβιάζοντας τον πίνακα ελέγχου ιστού , παρεμπόδιση μιας περιόδου λειτουργίας απομακρυσμένης επιφάνειας εργασίας (χρησιμοποιήθηκε πρωτόκολλο RDP) ή με εκμετάλλευση μιας ευπάθειας στον Windows Server. Οι κακόβουλες ενέργειες πραγματοποιήθηκαν τοπικά στον διακομιστή χρησιμοποιώντας ένα σενάριο για την πραγματοποίηση αλλαγών σε υπάρχοντα εκτελέσιμα αρχεία, αντί να τα κατεβάσετε ξανά από έξω.
Ο συγγραφέας του έργου ισχυρίζεται ότι μόνο αυτός είχε πρόσβαση διαχειριστή στο σύστημα, η πρόσβαση περιοριζόταν σε μία διεύθυνση IP και το υποκείμενο λειτουργικό σύστημα των Windows ενημερώθηκε και προστατεύτηκε από εξωτερικές επιθέσεις. Ταυτόχρονα, τα πρωτόκολλα RDP και FTP χρησιμοποιήθηκαν για απομακρυσμένη πρόσβαση και κυκλοφόρησε δυνητικά μη ασφαλές λογισμικό στην εικονική μηχανή, το οποίο θα μπορούσε να προκαλέσει hacking. Ωστόσο, ο συγγραφέας του Pale Moon τείνει να πιστεύει ότι η παραβίαση διαπράχθηκε λόγω ανεπαρκούς προστασίας της υποδομής εικονικής μηχανής του παρόχου (για παράδειγμα, κάποτε, μέσω της επιλογής ενός μη ασφαλούς κωδικού πρόσβασης παρόχου χρησιμοποιώντας την τυπική διεπαφή διαχείρισης εικονικοποίησης
Πηγή: opennet.ru