Avtor brskalnika Pale Moon
Problematični strežnik je trenutno brez povezave zaradi preiskave. Strežnik, s katerega so bile distribuirane trenutne izdaje
Pale Moon ni prizadet, težava vpliva samo na stare različice sistema Windows, nameščene iz arhiva (izdaje se premaknejo v arhiv, ko se izdajo nove različice). Med vdorom je bil na strežniku nameščen operacijski sistem Windows in je deloval v virtualnem stroju, ki je bil najet pri operaterju Frantech/BuyVM. Ni še jasno, kakšna ranljivost je bila izkoriščena in ali je bila specifična za Windows ali je vplivala na nekatere delujoče strežniške aplikacije tretjih oseb.
Po pridobitvi dostopa so napadalci selektivno okužili vse datoteke exe, povezane s Pale Moon (namestitvene programe in samorazpakirne arhive), s trojansko programsko opremo.
26. maja 2019 je bilo med aktivnostjo na strežniku napadalcev (ni jasno, ali so bili to isti napadalci kot pri prvem vdoru ali drugi) moteno normalno delovanje archive.palemoon.org - gostitelj ni mogel znova zagnati in podatki so bili poškodovani. To je vključevalo izgubo sistemskih dnevnikov, ki bi lahko vsebovali podrobnejše sledi, ki kažejo na naravo napada. V času te napake skrbniki niso vedeli za ogroženost in so obnovili delovanje arhiva z uporabo novega okolja, ki temelji na CentOS, in zamenjavo prenosov FTP s HTTP. Ker incident ni bil opažen, so bile datoteke iz varnostne kopije, ki so bile že okužene, prenesene na nov strežnik.
Pri analizi možnih razlogov za ogrožanje se domneva, da so napadalci pridobili dostop z ugibanjem gesla do računa gostujočega osebja, pridobitvijo neposrednega fizičnega dostopa do strežnika, napadom na hipervizor, da bi pridobili nadzor nad drugimi virtualnimi stroji, vdorom v spletno nadzorno ploščo , prestrezanje seje oddaljenega dostopa do namizja (uporabljen je bil protokol RDP) ali z izkoriščanjem ranljivosti v sistemu Windows Server. Zlonamerna dejanja so bila izvedena lokalno na strežniku z uporabo skripta za spreminjanje obstoječih izvedljivih datotek, namesto da bi jih znova naložili od zunaj.
Avtor projekta trdi, da je imel samo on skrbniški dostop do sistema, dostop je bil omejen na en naslov IP, osnovni operacijski sistem Windows pa posodobljen in zaščiten pred zunanjimi napadi. Hkrati sta bila za oddaljeni dostop uporabljena protokola RDP in FTP, na virtualnem stroju pa je bila zagnana potencialno nevarna programska oprema, ki bi lahko povzročila vdor. Vendar pa je avtor Pale Moon nagnjen k prepričanju, da je bil vdor storjen zaradi nezadostne zaščite ponudnikove infrastrukture virtualnega stroja (na primer naenkrat z izbiro nevarnega gesla ponudnika s standardnim vmesnikom za upravljanje virtualizacije).
Vir: opennet.ru