Nivîskarê geroka Pale Moon agahdariya li ser lihevkirina servera archive.palemoon.org, ya ku arşîvek weşanên geroka berê yên heya guhertoya 27.6.2 û di nav de hilanîn. Di dema hackkirinê de, êrîşkaran hemî pelên îcrakar bi sazkerên Pale Moon-ê yên ji bo Windows-ê ku li ser serverê bi malware ve girêdayî ne vegirtin. Li gorî daneyên pêşîn, veguheztina malware di 27ê Kanûna Pêşîn a 2017an de hat kirin, û tenê di 9ê Tîrmeha 2019an de hat tesbît kirin, ango. sal û nîvekê ji nedîtî ve ma.
Pêşkêşkara pirsgirêk niha ji bo lêpirsînê negirêdayî ye. Servera ku weşanên heyî jê hatine belavkirin
Pale Moon nayê bandor kirin, pirsgirêk tenê bandorê li guhertoyên kevn ên Windows-ê yên ku ji arşîvê hatine saz kirin bandor dike (ji ber ku guhertoyên nû têne berdan berdan têne veguheztin arşîvê). Di dema hackkirinê de, server Windows-ê dimeşand û di makîneyek virtual ya ku ji operator Frantech/BuyVM kirê kiribû de dixebitî. Hîn ne diyar e ka çi celeb qelsî hate îstismar kirin û gelo ew ji Windows-ê re taybetî bû an bandor li hin serîlêdanên servera partiya sêyemîn kir.
Piştî gihîştina gihîştinê, êrîşkaran bi nermalava Trojan ve hemî pelên exe yên girêdayî Pale Moon (sazker û arşîvên xwe-derxistin) vegirtin. , ji bo dizîna cryptocurrency bi şûna navnîşanên bitcoin li ser clipboard. Pelên darvekirî yên di hundurê arşîvên zip de bandor nabin. Guhertinên sazkerê dibe ku ji hêla bikarhêner ve bi kontrolkirina îmzayên dîjîtal an haşeyên SHA256 yên ku bi pelan ve hatine vedîtin ve hatine kifş kirin. Malwareya ku tê bikar anîn jî serketî ye herî antivirusên heyî.
Di 26-ê Gulana 2019-an de, di dema çalakiya li ser servera êrîşkaran de (ne diyar e ka ev heman êrîşker bûn di hacka yekem de an yên din), xebata normal ya archive.palemoon.org hate asteng kirin - mêvandar nikarîbû ji nû ve dest pê bike, û dane xera bû. Di vê yekê de windakirina têketinên pergalê, ku dikaribû şopên hûrgulî yên ku cewhera êrîşê destnîşan dike, tê de hebe. Di dema vê têkçûnê de, rêvebiran ji lihevkirinê hay nebû û arşîv bi karanîna hawîrdorek nû ya CentOS-ê vegerandin û dakêşanên FTP-ê bi HTTP-ê veguherînin. Ji ber ku bûyer nehat ferq kirin, pelên ji hilanînê ku berê vegirtî bûn, ji servera nû re hatin veguheztin.
Bi analîzkirina sedemên muhtemel ên lihevkirinê, tê texmîn kirin ku êrîşkaran bi texmînkirina şîfreya hesabê karmendên mêvandar, gihîştina rasterast a fîzîkî ya serverê, êrişî hîpervisorê ji bo kontrolkirina makîneyên din ên virtual, hackkirina panela kontrolê ya webê, gihîştine gihîştinê. , astengkirina danişîna sermaseya dûr (protokola RDP hate bikar anîn) an jî bi îstismarkirina qelsiyek di Windows Server de. Kiryarên xerab bi herêmî li ser serverê bi karanîna skrîptekê hatine kirin da ku di pelên heyî yên heyî de guheztinan bikin, ne ji nûve daxistina wan ji derve.
Nivîskarê projeyê îdîa dike ku tenê wî gihîştina rêveberê pergalê hebû, gihîştina yek navnîşana IP-yê sînorkirî bû, û OS-ya Windows-ê ya bingehîn hate nûve kirin û ji êrişên derveyî hate parastin. Di heman demê de, protokolên RDP û FTP ji bo gihîştina ji dûr ve hatin bikar anîn, û nermalava potansiyel ne ewle li ser makîneya virtual hate destpêkirin, ku dikare bibe sedema hackkirinê. Lêbelê, nivîskarê Pale Moon meyildar e ku bawer bike ku hack ji ber nebûna parastina binesaziya makîneya virtual ya pêşkêşkarê (mînakî, yek carî, bi hilbijartina şîfreyek peydakerê ne ewle bi karanîna navgîniya rêveberiya virtualîzasyona standard ve hatî kirin Malpera OpenSSL).
Source: opennet.ru