Nivîskarê geroka Pale Moon
Pêşkêşkara pirsgirêk niha ji bo lêpirsînê negirêdayî ye. Servera ku weşanên heyî jê hatine belavkirin
Pale Moon nayê bandor kirin, pirsgirêk tenê bandorê li guhertoyên kevn ên Windows-ê yên ku ji arşîvê hatine saz kirin bandor dike (ji ber ku guhertoyên nû têne berdan berdan têne veguheztin arşîvê). Di dema hackkirinê de, server Windows-ê dimeşand û di makîneyek virtual ya ku ji operator Frantech/BuyVM kirê kiribû de dixebitî. Hîn ne diyar e ka çi celeb qelsî hate îstismar kirin û gelo ew ji Windows-ê re taybetî bû an bandor li hin serîlêdanên servera partiya sêyemîn kir.
Piştî gihîştina gihîştinê, êrîşkaran bi nermalava Trojan ve hemî pelên exe yên girêdayî Pale Moon (sazker û arşîvên xwe-derxistin) vegirtin.
Di 26-ê Gulana 2019-an de, di dema çalakiya li ser servera êrîşkaran de (ne diyar e ka ev heman êrîşker bûn di hacka yekem de an yên din), xebata normal ya archive.palemoon.org hate asteng kirin - mêvandar nikarîbû ji nû ve dest pê bike, û dane xera bû. Di vê yekê de windakirina têketinên pergalê, ku dikaribû şopên hûrgulî yên ku cewhera êrîşê destnîşan dike, tê de hebe. Di dema vê têkçûnê de, rêvebiran ji lihevkirinê hay nebû û arşîv bi karanîna hawîrdorek nû ya CentOS-ê vegerandin û dakêşanên FTP-ê bi HTTP-ê veguherînin. Ji ber ku bûyer nehat ferq kirin, pelên ji hilanînê ku berê vegirtî bûn, ji servera nû re hatin veguheztin.
Bi analîzkirina sedemên muhtemel ên lihevkirinê, tê texmîn kirin ku êrîşkaran bi texmînkirina şîfreya hesabê karmendên mêvandar, gihîştina rasterast a fîzîkî ya serverê, êrişî hîpervisorê ji bo kontrolkirina makîneyên din ên virtual, hackkirina panela kontrolê ya webê, gihîştine gihîştinê. , astengkirina danişîna sermaseya dûr (protokola RDP hate bikar anîn) an jî bi îstismarkirina qelsiyek di Windows Server de. Kiryarên xerab bi herêmî li ser serverê bi karanîna skrîptekê hatine kirin da ku di pelên heyî yên heyî de guheztinan bikin, ne ji nûve daxistina wan ji derve.
Nivîskarê projeyê îdîa dike ku tenê wî gihîştina rêveberê pergalê hebû, gihîştina yek navnîşana IP-yê sînorkirî bû, û OS-ya Windows-ê ya bingehîn hate nûve kirin û ji êrişên derveyî hate parastin. Di heman demê de, protokolên RDP û FTP ji bo gihîştina ji dûr ve hatin bikar anîn, û nermalava potansiyel ne ewle li ser makîneya virtual hate destpêkirin, ku dikare bibe sedema hackkirinê. Lêbelê, nivîskarê Pale Moon meyildar e ku bawer bike ku hack ji ber nebûna parastina binesaziya makîneya virtual ya pêşkêşkarê (mînakî, yek carî, bi hilbijartina şîfreyek peydakerê ne ewle bi karanîna navgîniya rêveberiya virtualîzasyona standard ve hatî kirin
Source: opennet.ru