Pale Moon tarayıcısının yazarı 27.6.2 sürümüne kadar olan ve sürüm 27 dahil olmak üzere geçmiş tarayıcı sürümlerinin arşivini depolayan archive.palemoon.org sunucusunun ele geçirilmesi hakkında bilgi. Saldırı sırasında saldırganlar, sunucuda bulunan Windows için Pale Moon yükleyicileriyle tüm yürütülebilir dosyalara kötü amaçlı yazılım bulaştırdı. Ön verilere göre, kötü amaçlı yazılımın değiştirilmesi 2017 Aralık 9'de gerçekleştirildi ve yalnızca 2019 Temmuz XNUMX'da tespit edildi. bir buçuk yıl boyunca fark edilmeden kaldı.
Sorunlu sunucu şu anda inceleme için çevrimdışı. Güncel sürümlerin dağıtıldığı sunucu
Soluk Ay etkilenmez, sorun yalnızca arşivden yüklenen eski Windows sürümlerini etkiler (yeni sürümler yayınlandıkça sürümler arşive taşınır). Saldırı sırasında sunucu Windows çalıştırıyordu ve Frantech/BuyVM operatöründen kiralanan bir sanal makinede çalışıyordu. Ne tür bir güvenlik açığından yararlanıldığı ve bunun Windows'a mı özgü olduğu yoksa çalışan bazı üçüncü taraf sunucu uygulamalarını mı etkilediği henüz belli değil.
Saldırganlar, erişim sağladıktan sonra Pale Moon ile ilişkili tüm exe dosyalarına (yükleyiciler ve kendi kendine açılan arşivler) Trojan yazılımını seçerek bulaştırdı. , panodaki bitcoin adreslerini değiştirerek kripto para birimini çalmayı amaçlıyordu. Zip arşivleri içindeki yürütülebilir dosyalar etkilenmez. Yükleyicideki değişiklikler, kullanıcı tarafından dosyalara eklenen dijital imzaları veya SHA256 karmalarını kontrol ederek tespit edilmiş olabilir. Kullanılan kötü amaçlı yazılım da başarılı en güncel antivirüsler.
26 Mayıs 2019'da, saldırganların sunucusundaki etkinlik sırasında (bunların ilk hack'teki saldırganlarla aynı mı yoksa diğerleri mi olduğu belli değil), archive.palemoon.org'un normal çalışması bozuldu - ana bilgisayar bunu yapamadı. yeniden başlatmak için ve veriler hasar gördü. Bu, saldırının niteliğini gösteren daha ayrıntılı izleri içerebilecek sistem günlüklerinin kaybını da içeriyordu. Bu başarısızlığın yaşandığı sırada, yöneticiler bu tehlikenin farkında değildi ve yeni bir CentOS tabanlı ortam kullanarak ve FTP indirmelerini HTTP ile değiştirerek arşivi yeniden çalışır hale getirdi. Olay fark edilmediği için yedekteki zaten virüs bulaşmış olan dosyalar yeni sunucuya aktarıldı.
Saldırının olası nedenleri analiz edildiğinde, saldırganların barındırma personeli hesabının şifresini tahmin ederek, sunucuya doğrudan fiziksel erişim sağlayarak, diğer sanal makineler üzerinde kontrol sahibi olmak için hipervizöre saldırarak, web kontrol panelini hackleyerek erişim sağladığı varsayılmaktadır. , bir uzak masaüstü oturumuna müdahale ederek (RDP protokolü kullanıldı) veya Windows Server'daki bir güvenlik açığından yararlanarak. Kötü amaçlı eylemler, dosyaları dışarıdan yeniden indirmek yerine, mevcut yürütülebilir dosyalarda değişiklik yapmak için bir komut dosyası kullanılarak sunucuda yerel olarak gerçekleştirildi.
Projenin yazarı, sisteme yalnızca kendisinin yönetici erişimine sahip olduğunu, erişimin tek bir IP adresiyle sınırlı olduğunu ve temeldeki Windows işletim sisteminin güncellendiğini ve dış saldırılara karşı korunduğunu iddia ediyor. Aynı zamanda, uzaktan erişim için RDP ve FTP protokolleri kullanıldı ve sanal makinede, bilgisayar korsanlığına neden olabilecek, potansiyel olarak güvenli olmayan bir yazılım başlatıldı. Bununla birlikte, Pale Moon'un yazarı, saldırının, sağlayıcının sanal makine altyapısının yetersiz korunması nedeniyle (örneğin, bir kerede standart sanallaştırma yönetimi arayüzünü kullanarak güvenli olmayan bir sağlayıcı şifresinin seçilmesi yoluyla) yapıldığına inanma eğilimindedir. OpenSSL web sitesi).
Kaynak: opennet.ru