Pale Moon բրաուզերի հեղինակ տեղեկատվություն archive.palemoon.org սերվերի փոխզիջման մասին, որը պահում էր բրաուզերի նախորդ թողարկումների արխիվը մինչև 27.6.2 տարբերակը ներառյալ: Հակահարձակման ընթացքում հարձակվողները բոլոր գործարկվող ֆայլերը վարակել են Windows-ի համար նախատեսված Pale Moon տեղադրիչներով, որոնք տեղակայված են սերվերում չարամիտ ծրագրերով: Նախնական տվյալներով՝ չարամիտ ծրագրերի փոխարինումն իրականացվել է 27 թվականի դեկտեմբերի 2017-ին և հայտնաբերվել միայն 9 թվականի հուլիսի 2019-ին, այսինքն. աննկատ մնաց մեկուկես տարի։
Խնդրահարույց սերվերը ներկայումս անցանց է հետաքննության համար: Սերվեր, որից բաշխվել են ընթացիկ թողարկումները
Pale Moon-ը չի ազդում, խնդիրն ազդում է միայն արխիվից տեղադրված Windows-ի հին տարբերակների վրա (թողարկումները տեղափոխվում են արխիվ, քանի որ նոր տարբերակները թողարկվում են): Խափանման ժամանակ սերվերը աշխատում էր Windows-ով և աշխատում էր Frantech/BuyVM օպերատորից վարձակալած վիրտուալ մեքենայի մեջ: Դեռևս պարզ չէ, թե ինչպիսի խոցելիություն է օգտագործվել և արդյոք այն հատուկ է Windows-ի համար, թե ազդել է երրորդ կողմի սերվերի որոշ գործարկվող հավելվածների վրա:
Մուտք գործելուց հետո հարձակվողները ընտրողաբար վարակել են Pale Moon-ի հետ կապված բոլոր exe ֆայլերը (տեղադրողներ և ինքնաարտահանվող արխիվներ) տրոյական ծրագրաշարով։ , որի նպատակն է գողանալ կրիպտոարժույթը՝ փոխարինելով բիթքոինի հասցեները clipboard-ում: zip արխիվների ներսում գործարկվող ֆայլերը չեն ազդում: Տեղադրիչի փոփոխությունները օգտատերը կարող է հայտնաբերել՝ ստուգելով ֆայլերին կցված թվային ստորագրությունները կամ SHA256 հեշերը: Օգտագործված չարամիտ ծրագիրը նույնպես հաջողված է ամենաարդիական հակավիրուսները:
26 թվականի մայիսի 2019-ին հարձակվողների սերվերի վրա գործողության ընթացքում (պարզ չէ՝ սրանք նույն հարձակվողներն էին, ինչ առաջին հաքերում, թե մյուսները), խաթարվեց archive.palemoon.org-ի բնականոն գործունեությունը. հաղորդավարը չկարողացավ։ վերագործարկելու համար, և տվյալները վնասվել են: Սա ներառում էր համակարգի տեղեկամատյանների կորուստը, որը կարող էր ներառել ավելի մանրամասն հետքեր, որոնք ցույց են տալիս հարձակման բնույթը: Այս ձախողման պահին ադմինիստրատորները տեղյակ չէին փոխզիջման մասին և վերականգնեցին արխիվը աշխատանքի՝ օգտագործելով նոր CentOS-ի վրա հիմնված միջավայր և փոխարինելով FTP ներբեռնումները HTTP-ով: Քանի որ միջադեպը չնկատվեց, կրկնօրինակից ֆայլերը, որոնք արդեն վարակված էին, փոխանցվեցին նոր սերվեր:
Վերլուծելով փոխզիջման հնարավոր պատճառները՝ ենթադրվում է, որ հարձակվողները մուտք են ստացել հոսթինգի անձնակազմի հաշվի գաղտնաբառը գուշակելով, անմիջական ֆիզիկական մուտք ստանալով սերվեր, հարձակվելով հիպերվիզորի վրա՝ այլ վիրտուալ մեքենաների վրա վերահսկողություն ձեռք բերելու համար, կոտրելով վեբ կառավարման վահանակը։ , հեռակառավարվող աշխատասեղանի նստաշրջանի ընդհատում (օգտագործվել է RDP արձանագրություն) կամ Windows Server-ի խոցելիության օգտագործումը։ Վնասակար գործողություններն իրականացվել են սերվերի վրա՝ օգտագործելով սկրիպտ՝ գոյություն ունեցող գործարկվող ֆայլերում փոփոխություններ կատարելու համար, այլ ոչ թե դրանք դրսից նորից ներբեռնելու միջոցով:
Նախագծի հեղինակը պնդում է, որ միայն ինքն է ունեցել ադմինիստրատորի մուտք դեպի համակարգ, մուտքը սահմանափակվել է մեկ IP հասցեով, իսկ հիմքում ընկած Windows ՕՀ-ն թարմացվել է և պաշտպանված է արտաքին հարձակումներից։ Միևնույն ժամանակ, RDP և FTP արձանագրությունները օգտագործվել են հեռավոր մուտքի համար, և վիրտուալ մեքենայի վրա գործարկվել է պոտենցիալ ոչ անվտանգ ծրագրակազմ, որը կարող է հաքերային հարձակումներ առաջացնել: Այնուամենայնիվ, Pale Moon-ի հեղինակը հակված է կարծելու, որ կոտրումը կատարվել է մատակարարի վիրտուալ մեքենայի ենթակառուցվածքի անբավարար պաշտպանության պատճառով (օրինակ, մի ժամանակ, անապահով մատակարարի գաղտնաբառի ընտրության միջոցով, օգտագործելով ստանդարտ վիրտուալացման կառավարման միջերեսը: OpenSSL կայք):
Source: opennet.ru