Муаллифи браузери Pale Moon маълумот дар бораи созиши сервери archive.palemoon.org, ки бойгонии версияҳои қаблии браузерро то версияи 27.6.2 нигоҳ доштааст. Ҳангоми ҳак, ҳамлагарон ҳама файлҳои иҷрошавандаро бо насбкунандагони Pale Moon барои Windows, ки дар сервер бо нармафзори зараровар ҷойгиранд, сироят карданд. Тибқи маълумоти пешакӣ, ивазкунии нармафзори зараровар 27 декабри соли 2017 сурат гирифта, танҳо 9 июли соли 2019 ошкор шудааст, яъне. якуним сол бехабар монд.
Сервери мушкилот дар айни замон барои тафтиш офлайн аст. Сервере, ки аз он релизҳои ҷорӣ паҳн карда шуданд
Pale Moon таъсир намерасонад, мушкилот танҳо ба версияҳои кӯҳнаи Windows, ки аз бойгонӣ насб шудаанд, таъсир мерасонад (барои баровардани версияҳои нав релизҳо ба бойгонӣ интиқол дода мешаванд). Ҳангоми хакерӣ сервер Windows кор мекард ва дар мошини маҷозӣ, ки аз оператори Frantech/BuyVM ба иҷора гирифта шудааст, кор мекард. Ҳанӯз маълум нест, ки чӣ гуна осебпазирӣ истифода шудааст ва оё он хоси Windows буд ё ба баъзе замимаҳои сервери тарафи сеюм таъсир кардааст.
Пас аз ба даст овардани дастрасӣ, ҳамлагарон ҳама файлҳои exe-ро, ки бо Pale Moon алоқаманданд (насбкунандагон ва бойгониҳои худкор) бо нармафзори троянӣ ба таври интихобӣ сироят карданд. , ба дуздии cryptocurrency тавассути иваз кардани суроғаҳои bitcoin дар буфер нигаронида шудааст. Файлҳои иҷрошавандаи дохили архивҳои zip таъсир намерасонанд. Тағйирот дар насбкунанда метавонад аз ҷониби корбар тавассути тафтиши имзоҳои рақамӣ ё хэшҳои SHA256, ки ба файлҳо замима шудаанд, муайян карда шавад. Барномаи зараровар истифодашуда низ муваффақ аст аксари антивирусҳои ҷорӣ.
26 майи соли 2019 ҳангоми фаъолият дар сервери ҳамлагарон (маълум нест, ки онҳо ҳамон ҳамлагарон буданд, ки дар хаки аввал буданд ё дигарон), кори муқаррарии archive.palemoon.org халалдор шуд - мизбон натавонист. барои аз нав оғоз кардан ва маълумот осеб дидааст. Ин аз даст додани гузоришҳои система иборат буд, ки метавонистанд пайҳои муфассалеро дар бар гиранд, ки хусусияти ҳамларо нишон медиҳанд. Дар замони ин нокомӣ, маъмурон аз созиш бехабар буданд ва бойгониро бо истифода аз муҳити нави CentOS ва иваз кардани зеркашиҳои FTP бо HTTP ба кор барқарор карданд. Азбаски ин ҳодиса мушоҳида нашудааст, файлҳои нусхабардорӣ, ки аллакай сироят ёфта буданд, ба сервери нав интиқол дода шуданд.
Бо таҳлили сабабҳои эҳтимолии созиш, тахмин меравад, ки ҳамлагарон тавассути фаҳмиши парол ба ҳисоби кормандони хостинг, дастрасии мустақими физикӣ ба сервер, ҳамла ба гипервизор барои ба даст овардани назорат бар дигар мошинҳои виртуалӣ, рахна кардани панели идоракунии веб дастрасӣ пайдо карданд. , боздоштани сессияи мизи кории дурдаст (протоколи RDP истифода шудааст) ё бо истифода аз осебпазирӣ дар Windows Server. Амалҳои зараровар ба таври маҳаллӣ дар сервер бо истифода аз скрипт барои ворид кардани тағирот ба файлҳои иҷрошавандаи мавҷуда, на бо роҳи дубора зеркашии онҳо аз берун анҷом дода шуданд.
Муаллифи лоиҳа иддао дорад, ки танҳо ӯ ба система дастрасии маъмур дошт, дастрасӣ ба як суроғаи IP маҳдуд буд ва ОС-и аслии Windows навсозӣ ва аз ҳамлаҳои беруна ҳифз шудааст. Ҳамзамон, протоколҳои RDP ва FTP барои дастрасии дурдаст истифода мешуданд ва нармафзори эҳтимолан хатарнок дар мошини виртуалӣ ба кор андохта шуд, ки метавонад боиси хакерӣ шавад. Бо вуҷуди ин, муаллифи Pale Moon майл дорад, ки ҳак бо сабаби муҳофизати нокифояи инфрасохтори мошини виртуалии провайдер (масалан, дар як вақт тавассути интихоби пароли провайдери ноамн бо истифода аз интерфейси стандартии идоракунии виртуализатсия) содир шудааст. Вебсайти OpenSSL).
Манбаъ: opennet.ru