Pale Moon tarayıcısının yazarı
Sorunlu sunucu şu anda inceleme için çevrimdışı. Güncel sürümlerin dağıtıldığı sunucu
Soluk Ay etkilenmez, sorun yalnızca arşivden yüklenen eski Windows sürümlerini etkiler (yeni sürümler yayınlandıkça sürümler arşive taşınır). Saldırı sırasında sunucu Windows çalıştırıyordu ve Frantech/BuyVM operatöründen kiralanan bir sanal makinede çalışıyordu. Ne tür bir güvenlik açığından yararlanıldığı ve bunun Windows'a mı özgü olduğu yoksa çalışan bazı üçüncü taraf sunucu uygulamalarını mı etkilediği henüz belli değil.
Saldırganlar, erişim sağladıktan sonra Pale Moon ile ilişkili tüm exe dosyalarına (yükleyiciler ve kendi kendine açılan arşivler) Trojan yazılımını seçerek bulaştırdı.
26 Mayıs 2019'da, saldırganların sunucusundaki etkinlik sırasında (bunların ilk hack'teki saldırganlarla aynı mı yoksa diğerleri mi olduğu belli değil), archive.palemoon.org'un normal çalışması bozuldu - ana bilgisayar bunu yapamadı. yeniden başlatmak için ve veriler hasar gördü. Bu, saldırının niteliğini gösteren daha ayrıntılı izleri içerebilecek sistem günlüklerinin kaybını da içeriyordu. Bu başarısızlığın yaşandığı sırada, yöneticiler bu tehlikenin farkında değildi ve yeni bir CentOS tabanlı ortam kullanarak ve FTP indirmelerini HTTP ile değiştirerek arşivi yeniden çalışır hale getirdi. Olay fark edilmediği için yedekteki zaten virüs bulaşmış olan dosyalar yeni sunucuya aktarıldı.
Saldırının olası nedenleri analiz edildiğinde, saldırganların barındırma personeli hesabının şifresini tahmin ederek, sunucuya doğrudan fiziksel erişim sağlayarak, diğer sanal makineler üzerinde kontrol sahibi olmak için hipervizöre saldırarak, web kontrol panelini hackleyerek erişim sağladığı varsayılmaktadır. , bir uzak masaüstü oturumuna müdahale ederek (RDP protokolü kullanıldı) veya Windows Server'daki bir güvenlik açığından yararlanarak. Kötü amaçlı eylemler, dosyaları dışarıdan yeniden indirmek yerine, mevcut yürütülebilir dosyalarda değişiklik yapmak için bir komut dosyası kullanılarak sunucuda yerel olarak gerçekleştirildi.
Projenin yazarı, sisteme yalnızca kendisinin yönetici erişimine sahip olduğunu, erişimin tek bir IP adresiyle sınırlı olduğunu ve temeldeki Windows işletim sisteminin güncellendiğini ve dış saldırılara karşı korunduğunu iddia ediyor. Aynı zamanda, uzaktan erişim için RDP ve FTP protokolleri kullanıldı ve sanal makinede, bilgisayar korsanlığına neden olabilecek, potansiyel olarak güvenli olmayan bir yazılım başlatıldı. Bununla birlikte, Pale Moon'un yazarı, saldırının, sağlayıcının sanal makine altyapısının yetersiz korunması nedeniyle (örneğin, bir kerede standart sanallaştırma yönetimi arayüzünü kullanarak güvenli olmayan bir sağlayıcı şifresinin seçilmesi yoluyla) yapıldığına inanma eğilimindedir.
Kaynak: opennet.ru