Аутор претраживача Пале Моон информације о компромитовању сервера арцхиве.палемоон.орг, који је чувао архиву прошлих издања претраживача до и укључујући верзију 27.6.2. Током хаковања, нападачи су малвером заразили све извршне датотеке са Пале Моон инсталатерима за Виндовс који се налазе на серверу. Према прелиминарним подацима, замена малвера је извршена 27. децембра 2017. године, а откривена је тек 9. јула 2019. године, тј. остао непримећен годину и по дана.
Проблематичан сервер је тренутно ван мреже ради истраге. Сервер са којег су дистрибуирана актуелна издања
Пале Моон није погођен, проблем утиче само на старе верзије Виндовс-а инсталиране из архиве (издања се премештају у архиву како се нове верзије издају). Током хаковања, сервер је радио под Виндовс-ом и радио је на виртуелној машини изнајмљеној од оператера Франтецх/БуиВМ. Још увек није јасно која је врста рањивости искоришћена и да ли је специфична за Виндовс или је утицала на неке покренуте серверске апликације трећих страна.
Након што су добили приступ, нападачи су селективно заразили све еке датотеке повезане са Пале Моон (инсталациони програми и архиве које се самораспакују) тројанским софтвером , чији је циљ крађа криптовалуте заменом биткоин адреса у клипборду. То не утиче на извршне датотеке унутар зип архива. Корисник је можда открио промене у инсталатеру тако што је проверавао дигиталне потписе или СХА256 хешеве приложене датотекама. Коришћени злонамерни софтвер је такође успешан најновији антивирусни програми.
Дана 26. маја 2019. године, током активности на серверу нападача (није јасно да ли се ради о истим нападачима као у првом хаку или другим), поремећен је нормалан рад арцхиве.палемоон.орг – хост није могао да се поново покрене, а подаци су оштећени. Ово је укључивало губитак системских дневника, који су могли укључивати детаљније трагове који указују на природу напада. У време овог неуспеха, администратори нису били свесни компромиса и вратили су архиву у рад користећи ново окружење засновано на ЦентОС-у и замењујући ФТП преузимања са ХТТП-ом. Пошто инцидент није примећен, фајлови из резервне копије који су већ били заражени су пребачени на нови сервер.
Анализирајући могуће разлоге за компромис, претпоставља се да су нападачи добили приступ погађањем лозинке за налог особља хостинга, директним физичким приступом серверу, нападом на хипервизор да би стекли контролу над другим виртуелним машинама, хаковањем веб контролне табле. , пресретање сесије удаљене радне површине (коришћен је РДП протокол) или коришћењем рањивости у Виндовс Сервер-у. Злонамерне радње су спроведене локално на серверу помоћу скрипте за уношење промена у постојеће извршне датотеке, уместо њиховим поновним преузимањем споља.
Аутор пројекта тврди да је само он имао администраторски приступ систему, приступ је био ограничен на једну ИП адресу, а основни Виндовс ОС је ажуриран и заштићен од спољних напада. Истовремено, за даљински приступ коришћени су РДП и ФТП протоколи, а на виртуелној машини је покренут потенцијално небезбедан софтвер који би могао да изазове хаковање. Међутим, аутор Пале Моон-а је склон да верује да је хакирање извршено због недовољне заштите инфраструктуре виртуелне машине провајдера (на пример, у једном тренутку, кроз избор несигурне лозинке провајдера користећи стандардни интерфејс за управљање виртуелизацијом ОпенССЛ веб локација).
Извор: опеннет.ру