Аутор претраживача Пале Моон
Проблематичан сервер је тренутно ван мреже ради истраге. Сервер са којег су дистрибуирана актуелна издања
Пале Моон није погођен, проблем утиче само на старе верзије Виндовс-а инсталиране из архиве (издања се премештају у архиву како се нове верзије издају). Током хаковања, сервер је радио под Виндовс-ом и радио је на виртуелној машини изнајмљеној од оператера Франтецх/БуиВМ. Још увек није јасно која је врста рањивости искоришћена и да ли је специфична за Виндовс или је утицала на неке покренуте серверске апликације трећих страна.
Након што су добили приступ, нападачи су селективно заразили све еке датотеке повезане са Пале Моон (инсталациони програми и архиве које се самораспакују) тројанским софтвером
Дана 26. маја 2019. године, током активности на серверу нападача (није јасно да ли се ради о истим нападачима као у првом хаку или другим), поремећен је нормалан рад арцхиве.палемоон.орг – хост није могао да се поново покрене, а подаци су оштећени. Ово је укључивало губитак системских дневника, који су могли укључивати детаљније трагове који указују на природу напада. У време овог неуспеха, администратори нису били свесни компромиса и вратили су архиву у рад користећи ново окружење засновано на ЦентОС-у и замењујући ФТП преузимања са ХТТП-ом. Пошто инцидент није примећен, фајлови из резервне копије који су већ били заражени су пребачени на нови сервер.
Анализирајући могуће разлоге за компромис, претпоставља се да су нападачи добили приступ погађањем лозинке за налог особља хостинга, директним физичким приступом серверу, нападом на хипервизор да би стекли контролу над другим виртуелним машинама, хаковањем веб контролне табле. , пресретање сесије удаљене радне површине (коришћен је РДП протокол) или коришћењем рањивости у Виндовс Сервер-у. Злонамерне радње су спроведене локално на серверу помоћу скрипте за уношење промена у постојеће извршне датотеке, уместо њиховим поновним преузимањем споља.
Аутор пројекта тврди да је само он имао администраторски приступ систему, приступ је био ограничен на једну ИП адресу, а основни Виндовс ОС је ажуриран и заштићен од спољних напада. Истовремено, за даљински приступ коришћени су РДП и ФТП протоколи, а на виртуелној машини је покренут потенцијално небезбедан софтвер који би могао да изазове хаковање. Међутим, аутор Пале Моон-а је склон да верује да је хакирање извршено због недовољне заштите инфраструктуре виртуелне машине провајдера (на пример, у једном тренутку, кроз избор несигурне лозинке провајдера користећи стандардни интерфејс за управљање виртуелизацијом
Извор: опеннет.ру