ಪೇಲ್ ಮೂನ್ ಬ್ರೌಸರ್ನ ಲೇಖಕ archive.palemoon.org ಸರ್ವರ್ನ ಹೊಂದಾಣಿಕೆಯ ಬಗ್ಗೆ ಮಾಹಿತಿ, ಇದು ಆವೃತ್ತಿ 27.6.2 ವರೆಗೆ ಮತ್ತು ಸೇರಿದಂತೆ ಹಿಂದಿನ ಬ್ರೌಸರ್ ಬಿಡುಗಡೆಗಳ ಆರ್ಕೈವ್ ಅನ್ನು ಸಂಗ್ರಹಿಸಿದೆ. ಹ್ಯಾಕ್ ಸಮಯದಲ್ಲಿ, ದಾಳಿಕೋರರು ಮಾಲ್ವೇರ್ನೊಂದಿಗೆ ಸರ್ವರ್ನಲ್ಲಿರುವ ವಿಂಡೋಸ್ಗಾಗಿ ಪೇಲ್ ಮೂನ್ ಇನ್ಸ್ಟಾಲರ್ಗಳೊಂದಿಗೆ ಎಲ್ಲಾ ಕಾರ್ಯಗತಗೊಳಿಸಬಹುದಾದ ಫೈಲ್ಗಳನ್ನು ಸೋಂಕಿತರು. ಪ್ರಾಥಮಿಕ ಮಾಹಿತಿಯ ಪ್ರಕಾರ, ಮಾಲ್ವೇರ್ನ ಪರ್ಯಾಯವನ್ನು ಡಿಸೆಂಬರ್ 27, 2017 ರಂದು ನಡೆಸಲಾಯಿತು ಮತ್ತು ಜುಲೈ 9, 2019 ರಂದು ಮಾತ್ರ ಪತ್ತೆಯಾಗಿದೆ, ಅಂದರೆ. ಒಂದೂವರೆ ವರ್ಷ ಗಮನಕ್ಕೆ ಬರಲಿಲ್ಲ.
ಸಮಸ್ಯಾತ್ಮಕ ಸರ್ವರ್ ಪ್ರಸ್ತುತ ತನಿಖೆಗಾಗಿ ಆಫ್ಲೈನ್ನಲ್ಲಿದೆ. ಪ್ರಸ್ತುತ ಬಿಡುಗಡೆಗಳನ್ನು ವಿತರಿಸಲಾದ ಸರ್ವರ್
ಪೇಲ್ ಮೂನ್ ಪರಿಣಾಮ ಬೀರುವುದಿಲ್ಲ, ಸಮಸ್ಯೆಯು ಆರ್ಕೈವ್ನಿಂದ ಸ್ಥಾಪಿಸಲಾದ ಹಳೆಯ ವಿಂಡೋಸ್ ಆವೃತ್ತಿಗಳನ್ನು ಮಾತ್ರ ಪರಿಣಾಮ ಬೀರುತ್ತದೆ (ಹೊಸ ಆವೃತ್ತಿಗಳು ಬಿಡುಗಡೆಯಾದಾಗ ಬಿಡುಗಡೆಗಳನ್ನು ಆರ್ಕೈವ್ಗೆ ಸರಿಸಲಾಗುತ್ತದೆ). ಹ್ಯಾಕ್ ಸಮಯದಲ್ಲಿ, ಸರ್ವರ್ ವಿಂಡೋಸ್ ಅನ್ನು ಚಾಲನೆ ಮಾಡುತ್ತಿದೆ ಮತ್ತು ಆಪರೇಟರ್ ಫ್ರಾಂಟೆಕ್ / ಬೈವಿಎಂನಿಂದ ಬಾಡಿಗೆಗೆ ಪಡೆದ ವರ್ಚುವಲ್ ಯಂತ್ರದಲ್ಲಿ ಕಾರ್ಯನಿರ್ವಹಿಸುತ್ತಿದೆ. ಯಾವ ರೀತಿಯ ದುರ್ಬಲತೆಯನ್ನು ಬಳಸಿಕೊಳ್ಳಲಾಗಿದೆ ಮತ್ತು ಇದು ವಿಂಡೋಸ್ಗೆ ನಿರ್ದಿಷ್ಟವಾಗಿದೆಯೇ ಅಥವಾ ಕೆಲವು ಚಾಲನೆಯಲ್ಲಿರುವ ಮೂರನೇ ವ್ಯಕ್ತಿಯ ಸರ್ವರ್ ಅಪ್ಲಿಕೇಶನ್ಗಳ ಮೇಲೆ ಪರಿಣಾಮ ಬೀರುತ್ತದೆಯೇ ಎಂಬುದು ಇನ್ನೂ ಸ್ಪಷ್ಟವಾಗಿಲ್ಲ.
ಪ್ರವೇಶವನ್ನು ಪಡೆದ ನಂತರ, ದಾಳಿಕೋರರು ಟ್ರೋಜನ್ ಸಾಫ್ಟ್ವೇರ್ನೊಂದಿಗೆ ಪೇಲ್ ಮೂನ್ಗೆ (ಇನ್ಸ್ಟಾಲರ್ಗಳು ಮತ್ತು ಸ್ವಯಂ-ಹೊರತೆಗೆಯುವ ಆರ್ಕೈವ್ಗಳು) ಸಂಯೋಜಿತವಾಗಿರುವ ಎಲ್ಲಾ exe ಫೈಲ್ಗಳನ್ನು ಆಯ್ದವಾಗಿ ಸೋಂಕಿಸಿದರು. , ಕ್ಲಿಪ್ಬೋರ್ಡ್ನಲ್ಲಿ ಬಿಟ್ಕಾಯಿನ್ ವಿಳಾಸಗಳನ್ನು ಬದಲಿಸುವ ಮೂಲಕ ಕ್ರಿಪ್ಟೋಕರೆನ್ಸಿಯನ್ನು ಕದಿಯುವ ಗುರಿಯನ್ನು ಹೊಂದಿದೆ. ಜಿಪ್ ಆರ್ಕೈವ್ಗಳ ಒಳಗೆ ಕಾರ್ಯಗತಗೊಳಿಸಬಹುದಾದ ಫೈಲ್ಗಳು ಪರಿಣಾಮ ಬೀರುವುದಿಲ್ಲ. ಫೈಲ್ಗಳಿಗೆ ಲಗತ್ತಿಸಲಾದ ಡಿಜಿಟಲ್ ಸಿಗ್ನೇಚರ್ಗಳು ಅಥವಾ SHA256 ಹ್ಯಾಶ್ಗಳನ್ನು ಪರಿಶೀಲಿಸುವ ಮೂಲಕ ಸ್ಥಾಪಕದಲ್ಲಿನ ಬದಲಾವಣೆಗಳನ್ನು ಬಳಕೆದಾರರು ಪತ್ತೆ ಮಾಡಿರಬಹುದು. ಬಳಸಿದ ಮಾಲ್ವೇರ್ ಕೂಡ ಯಶಸ್ವಿಯಾಗಿದೆ ಅತ್ಯಂತ ಪ್ರಸ್ತುತ ಆಂಟಿವೈರಸ್ಗಳು.
ಮೇ 26, 2019 ರಂದು, ದಾಳಿಕೋರರ ಸರ್ವರ್ನಲ್ಲಿನ ಚಟುವಟಿಕೆಯ ಸಮಯದಲ್ಲಿ (ಇವರು ಮೊದಲ ಹ್ಯಾಕ್ನಲ್ಲಿರುವ ದಾಳಿಕೋರರೇ ಅಥವಾ ಇತರರೇ ಎಂಬುದು ಸ್ಪಷ್ಟವಾಗಿಲ್ಲ), archive.palemoon.org ನ ಸಾಮಾನ್ಯ ಕಾರ್ಯಾಚರಣೆಗೆ ಅಡ್ಡಿಯುಂಟಾಯಿತು - ಹೋಸ್ಟ್ಗೆ ಸಾಧ್ಯವಾಗಲಿಲ್ಲ ರೀಬೂಟ್ ಮಾಡಲು, ಮತ್ತು ಡೇಟಾ ಹಾನಿಯಾಗಿದೆ. ಇದು ಸಿಸ್ಟಮ್ ಲಾಗ್ಗಳ ನಷ್ಟವನ್ನು ಒಳಗೊಂಡಿತ್ತು, ಇದು ದಾಳಿಯ ಸ್ವರೂಪವನ್ನು ಸೂಚಿಸುವ ಹೆಚ್ಚು ವಿವರವಾದ ಕುರುಹುಗಳನ್ನು ಒಳಗೊಂಡಿರಬಹುದಾಗಿತ್ತು. ಈ ವೈಫಲ್ಯದ ಸಮಯದಲ್ಲಿ, ನಿರ್ವಾಹಕರು ಹೊಂದಾಣಿಕೆಯ ಬಗ್ಗೆ ತಿಳಿದಿರಲಿಲ್ಲ ಮತ್ತು ಹೊಸ CentOS-ಆಧಾರಿತ ಪರಿಸರವನ್ನು ಬಳಸಿಕೊಂಡು ಕಾರ್ಯಾಚರಣೆಗೆ ಆರ್ಕೈವ್ ಅನ್ನು ಮರುಸ್ಥಾಪಿಸಿದರು ಮತ್ತು HTTP ಯೊಂದಿಗೆ FTP ಡೌನ್ಲೋಡ್ಗಳನ್ನು ಬದಲಾಯಿಸಿದರು. ಘಟನೆಯು ಗಮನಕ್ಕೆ ಬರದ ಕಾರಣ, ಈಗಾಗಲೇ ಸೋಂಕಿಗೆ ಒಳಗಾದ ಬ್ಯಾಕ್ಅಪ್ನಿಂದ ಫೈಲ್ಗಳನ್ನು ಹೊಸ ಸರ್ವರ್ಗೆ ವರ್ಗಾಯಿಸಲಾಗಿದೆ.
ರಾಜಿಗೆ ಸಂಭವನೀಯ ಕಾರಣಗಳನ್ನು ವಿಶ್ಲೇಷಿಸುವಾಗ, ದಾಳಿಕೋರರು ಹೋಸ್ಟಿಂಗ್ ಸಿಬ್ಬಂದಿ ಖಾತೆಗೆ ಪಾಸ್ವರ್ಡ್ ಅನ್ನು ಊಹಿಸುವ ಮೂಲಕ ಪ್ರವೇಶವನ್ನು ಪಡೆದರು ಎಂದು ಭಾವಿಸಲಾಗಿದೆ, ಸರ್ವರ್ಗೆ ನೇರ ಭೌತಿಕ ಪ್ರವೇಶವನ್ನು ಪಡೆಯುವುದು, ಇತರ ವರ್ಚುವಲ್ ಯಂತ್ರಗಳ ಮೇಲೆ ನಿಯಂತ್ರಣವನ್ನು ಪಡೆಯಲು ಹೈಪರ್ವೈಸರ್ ಮೇಲೆ ದಾಳಿ ಮಾಡುವುದು, ವೆಬ್ ನಿಯಂತ್ರಣ ಫಲಕವನ್ನು ಹ್ಯಾಕ್ ಮಾಡುವುದು , ರಿಮೋಟ್ ಡೆಸ್ಕ್ಟಾಪ್ ಸೆಶನ್ ಅನ್ನು ಪ್ರತಿಬಂಧಿಸುವುದು (RDP ಪ್ರೋಟೋಕಾಲ್ ಅನ್ನು ಬಳಸಲಾಗಿದೆ) ಅಥವಾ ವಿಂಡೋಸ್ ಸರ್ವರ್ನಲ್ಲಿ ದುರ್ಬಲತೆಯನ್ನು ಬಳಸಿಕೊಳ್ಳುವ ಮೂಲಕ. ದುರುದ್ದೇಶಪೂರಿತ ಕ್ರಿಯೆಗಳನ್ನು ಸ್ಥಳೀಯವಾಗಿ ಸರ್ವರ್ನಲ್ಲಿ ಸ್ಕ್ರಿಪ್ಟ್ ಅನ್ನು ಬಳಸಿಕೊಂಡು ಅಸ್ತಿತ್ವದಲ್ಲಿರುವ ಕಾರ್ಯಗತಗೊಳಿಸಬಹುದಾದ ಫೈಲ್ಗಳಿಗೆ ಬದಲಾವಣೆಗಳನ್ನು ಮಾಡಲು ಹೊರಗಿನಿಂದ ಮರು-ಡೌನ್ಲೋಡ್ ಮಾಡುವ ಬದಲು ಕೈಗೊಳ್ಳಲಾಗುತ್ತದೆ.
ಯೋಜನೆಯ ಲೇಖಕರು ಅವರು ಸಿಸ್ಟಮ್ಗೆ ನಿರ್ವಾಹಕರ ಪ್ರವೇಶವನ್ನು ಹೊಂದಿದ್ದರು ಎಂದು ಹೇಳಿಕೊಳ್ಳುತ್ತಾರೆ, ಪ್ರವೇಶವನ್ನು ಒಂದು IP ವಿಳಾಸಕ್ಕೆ ಸೀಮಿತಗೊಳಿಸಲಾಗಿದೆ ಮತ್ತು ಆಧಾರವಾಗಿರುವ Windows OS ಅನ್ನು ನವೀಕರಿಸಲಾಗಿದೆ ಮತ್ತು ಬಾಹ್ಯ ದಾಳಿಗಳಿಂದ ರಕ್ಷಿಸಲಾಗಿದೆ. ಅದೇ ಸಮಯದಲ್ಲಿ, ರಿಮೋಟ್ ಪ್ರವೇಶಕ್ಕಾಗಿ RDP ಮತ್ತು FTP ಪ್ರೋಟೋಕಾಲ್ಗಳನ್ನು ಬಳಸಲಾಯಿತು ಮತ್ತು ವರ್ಚುವಲ್ ಗಣಕದಲ್ಲಿ ಸಂಭಾವ್ಯ ಅಸುರಕ್ಷಿತ ಸಾಫ್ಟ್ವೇರ್ ಅನ್ನು ಪ್ರಾರಂಭಿಸಲಾಯಿತು, ಅದು ಹ್ಯಾಕಿಂಗ್ಗೆ ಕಾರಣವಾಗಬಹುದು. ಆದಾಗ್ಯೂ, ಪೇಲ್ ಮೂನ್ನ ಲೇಖಕರು ಒದಗಿಸುವವರ ವರ್ಚುವಲ್ ಮೆಷಿನ್ ಮೂಲಸೌಕರ್ಯದ ಸಾಕಷ್ಟು ರಕ್ಷಣೆಯಿಂದಾಗಿ ಹ್ಯಾಕ್ ಮಾಡಲಾಗಿದೆ ಎಂದು ನಂಬಲು ಒಲವು ತೋರಿದ್ದಾರೆ (ಉದಾಹರಣೆಗೆ, ಒಂದು ಸಮಯದಲ್ಲಿ, ಪ್ರಮಾಣಿತ ವರ್ಚುವಲೈಸೇಶನ್ ಮ್ಯಾನೇಜ್ಮೆಂಟ್ ಇಂಟರ್ಫೇಸ್ ಅನ್ನು ಬಳಸಿಕೊಂಡು ಅಸುರಕ್ಷಿತ ಪೂರೈಕೆದಾರರ ಪಾಸ್ವರ್ಡ್ ಆಯ್ಕೆಯ ಮೂಲಕ OpenSSL ವೆಬ್ಸೈಟ್).
ಮೂಲ: opennet.ru