Höfundur Pale Moon vafrans upplýsingar um málamiðlun archive.palemoon.org þjónsins, sem geymdi skjalasafn með fyrri útgáfum vafra upp að og með útgáfu 27.6.2. Meðan á hakkinu stóð sýktu árásarmennirnir allar keyrsluskrár með Pale Moon uppsetningartækjum fyrir Windows sem staðsett voru á þjóninum með spilliforritum. Samkvæmt bráðabirgðagögnum var skipting á spilliforritum framkvæmd 27. desember 2017 og fannst aðeins 9. júlí 2019, þ.e. var óséður í eitt og hálft ár.
Vandi netþjónninn er ótengdur eins og er til rannsóknar. Server sem núverandi útgáfum var dreift frá
Pale Moon hefur ekki áhrif, vandamálið hefur aðeins áhrif á gamlar Windows útgáfur sem settar eru upp úr skjalasafninu (útgáfur eru færðar í skjalasafnið þegar nýjar útgáfur eru gefnar út). Meðan á hakkinu stóð var þjónninn með Windows og var í gangi í sýndarvél sem leigð var af rekstraraðilanum Frantech/BuyVM. Ekki er enn ljóst hvers konar varnarleysi var nýtt og hvort það var sérstaklega fyrir Windows eða hafði áhrif á sum keyrandi þriðju aðila netþjónaforrit.
Eftir að hafa fengið aðgang, smituðu árásarmennirnir sértækt allar exe skrár tengdar Pale Moon (uppsetningarforrit og sjálfútdráttarskjalasafn) með trójuhugbúnaði , sem miðar að því að stela dulritunargjaldmiðli með því að skipta um bitcoin heimilisföng á klemmuspjaldinu. Keyranlegar skrár inni í zip skjalasafni verða ekki fyrir áhrifum. Notandinn gæti hafa fundið breytingar á uppsetningarforritinu með því að athuga stafrænar undirskriftir eða SHA256 kjötkássa sem fylgja skránum. Spilliforritið sem notað er er einnig vel nýjustu vírusvörnin.
Þann 26. maí 2019, meðan á virkni á netþjóni árásarmanna stóð (ekki er ljóst hvort þetta voru sömu árásarmennirnir og í fyrsta hakkinu eða aðrir), var eðlileg starfsemi archive.palemoon.org truflað - gestgjafinn gat ekki að endurræsa og gögnin skemmdust. Þetta innihélt tap á kerfisskrám, sem hefði getað innihaldið ítarlegri ummerki sem gefa til kynna eðli árásarinnar. Þegar þessi bilun varð, voru stjórnendur ekki meðvitaðir um málamiðlunina og komu skjalasafninu aftur í gang með því að nota nýtt CentOS-undirstaða umhverfi og skipta FTP niðurhali út fyrir HTTP. Þar sem ekki var tekið eftir atvikinu voru skrár úr öryggisafritinu sem þegar voru sýktar fluttar á nýja netþjóninn.
Við greiningu á mögulegum ástæðum fyrir málamiðluninni er gert ráð fyrir að árásarmennirnir hafi fengið aðgang með því að giska á lykilorðið að hýsingarstarfsreikningnum, fá beinan líkamlegan aðgang að þjóninum, ráðast á ofurvisorinn til að ná stjórn á öðrum sýndarvélum, hakka inn stjórnborðið á vefnum. , stöðva fjarskjáborðslotu (RDP samskiptareglur voru notaðar) eða með því að nýta sér veikleika í Windows Server. Illgjarnar aðgerðir voru gerðar á staðnum á þjóninum með því að nota forskrift til að gera breytingar á núverandi keyrsluskrám, frekar en með því að hlaða þeim niður aftur að utan.
Höfundur verkefnisins heldur því fram að aðeins hann hafi haft stjórnandaaðgang að kerfinu, aðgangur hafi verið takmarkaður við eina IP tölu og undirliggjandi Windows stýrikerfi hafi verið uppfært og varið fyrir utanaðkomandi árásum. Á sama tíma voru RDP og FTP samskiptareglur notaðar fyrir fjaraðgang og hugsanlega óöruggur hugbúnaður settur á sýndarvélina sem gæti valdið tölvuþrjóti. Hins vegar hallast höfundur Pale Moon til að trúa því að innbrotið hafi verið framið vegna ófullnægjandi verndar á sýndarvélainnviðum þjónustuveitunnar (til dæmis í einu, með vali á óöruggu lykilorði þjónustuveitanda með því að nota staðlaða sýndarstjórnunarviðmótið OpenSSL vefsíða).
Heimild: opennet.ru