ব্রাউজারটির লেখক, প্যালে মুন একটি সার্ভারে অননুমোদিত অ্যাক্সেস সম্পর্কে তথ্য প্রকাশ করেছিলেন ওয়েব ব্রাউজার "আর্কাইভ.প্লেমুন.আর.অর্গ" থেকে, যা ব্রাউজারের পূর্ববর্তী সংস্করণগুলির সংরক্ষণাগারটিকে ২.27.6.2. XNUMX.২ সংস্করণ পর্যন্ত রেখেছিল to
এই অ্যাক্সেসে আক্রমণকারীরা ম্যালওয়্যার দ্বারা সংক্রামিত হয় এর সাথে সার্ভারে সমস্ত এক্সিকিউটেবল ফাইল ফ্যাকাশে মুন ইনস্টলার উইন্ডো জন্যs প্রাথমিক তথ্য অনুসারে, ম্যালওয়্যার প্রতিস্থাপনটি 27 ডিসেম্বর, 2017 এ সম্পাদিত হয়েছিল এবং এটি 9 জুলাই, 2019-তে সনাক্ত করা হয়েছিল, অর্থাৎ, দেড় বছর নজর কাড়েনি।
সার্ভারটি বর্তমানে তদন্তের জন্য অক্ষম রয়েছে। যে সার্ভার থেকে প্যালে মুনের বর্তমান সংস্করণগুলি বিতরণ করা হয়েছিল তা ভোগেনি, সমস্যাটি কেবল উইন্ডোজের পুরানো সংস্করণগুলিকেই প্রভাবিত করে ইতিমধ্যে বর্ণিত সার্ভার থেকে ইনস্টল করা হয়েছে (নতুন সংস্করণ উপলভ্য হলে পুরানো সংস্করণগুলি এই সার্ভারে সরানো হয়)।
অ্যাক্সেস পাওয়ার পরে, আক্রমণকারীরা প্যালে মুন সম্পর্কিত সমস্ত এক্সি ফাইলগুলি নির্বাচন করে সংক্রামিত করে যা ইনস্টলার এবং স্ব-এক্সট্র্যাক্টিং ফাইল উইন 32 / ক্লিপব্যাঙ্কার.ডাইওয়াই ট্রোজান সফ্টওয়্যার সহ ক্রিপ্টোকোরেন্সি চুরি করার উদ্দেশ্যে অদলবদল বাফারে বিটকয়েন ঠিকানাগুলি প্রতিস্থাপন করে।
জিপ ফাইলের মধ্যে এক্সিকিউটেবল ফাইলগুলি প্রভাবিত হয় না। ব্যবহারকারী হ্যাশগুলি বা ডিজিটাল স্বাক্ষর ফাইলগুলির সাথে সংযুক্ত SHA256 টি পরীক্ষা করে ইনস্টলারের পরিবর্তনগুলি সনাক্ত করতে পারে। ব্যবহৃত ম্যালওয়্যার সফলভাবে সমস্ত প্রাসঙ্গিক অ্যান্টিভাইরাস প্রোগ্রাম দ্বারা সনাক্ত করা হয়।
প্যালে মুন সার্ভার হ্যাক চলাকালীন ব্রাউজারের লেখক বিশদটি লিখেছেন:
"সার্ভারটি উইন্ডোজটিতে চালিত হয়েছিল এবং অপারেটর ফ্রন্টেক / বাইভিএমের কাছ থেকে ইজারা দেওয়া ভার্চুয়াল মেশিনে চালু হয়েছিল। "
কী ধরণের দুর্বলতা কাজে লাগানো হয়েছে এবং এটি উইন্ডোজের সাথে সুনির্দিষ্ট কিনা বা এটি কোনও চলমান তৃতীয় পক্ষের সার্ভার অ্যাপ্লিকেশনগুলিকে প্রভাবিত করেছে কিনা তা এখনও পরিষ্কার নয়।
হ্যাক সম্পর্কে
২ May শে মে, 26, আক্রমণকারীদের সার্ভারে ক্রিয়াকলাপের প্রক্রিয়ায় (প্রথম হ্যাকটি কখন করা হয়েছিল বা অন্যদের মতো তারাও একই হামলাকারী কিনা তা পরিষ্কার নয়), সংরক্ষণাগার.প্লেমুন.অর্গ.র সাধারণ ক্রিয়াকলাপটি ভেঙে গেছে- হোস্টটি পুনরায় বুট করতে ব্যর্থ হয়েছিল এবং ডেটাটি দূষিত হয়েছিল।
সিস্টেম লগ অন্তর্ভুক্তি হারিয়ে গেছে, যাতে আক্রমণটির প্রকৃতি নির্দেশ করে আরও বিস্তারিত চিহ্ন চিহ্নিত করা যেতে পারে।
এই রায় দেওয়ার সময় প্রশাসকরা এই প্রতিশ্রুতি সম্পর্কে অসচেতন ছিলেন এবং তারা নতুন সেন্টোস-ভিত্তিক পরিবেশ ব্যবহার করে এবং এইচটিটিপি-র মাধ্যমে এফটিপি-র মাধ্যমে ডাউনলোডের পরিবর্তে ফাইলটির কাজ পুনরুদ্ধার করেছে।
নতুন সার্ভারে ঘটনাটি যেমন দেখা যায়নি, ইতিমধ্যে সংক্রামিত ব্যাকআপ ফাইলগুলি স্থানান্তরিত হয়েছিল।
সমঝোতার সম্ভাব্য কারণগুলি বিশ্লেষণ করার সময়, আক্রমণকারীরা হোস্টিং কর্মীদের কাছ থেকে কোনও অ্যাকাউন্টের পাসওয়ার্ড পেয়ে অ্যাক্সেস অর্জন করেছে বলে ধারণা করা হয়সার্ভারে শারীরিক অ্যাক্সেস অর্জন করা, অন্যান্য ভার্চুয়াল মেশিনগুলিকে নিয়ন্ত্রণ করতে হাইপারভাইজারকে আক্রমণ করা, ওয়েব কন্ট্রোল প্যানেলে হ্যাক করা এবং দূরবর্তী ডেস্কটপ সেশনে বাধা থাকা অপেক্ষাকৃত সরল ছিল।
অন্যদিকে, এটি বিশ্বাস করা হয় যে আক্রমণকারীরা আরডিপি ব্যবহার করেছিল বা উইন্ডোজ সার্ভারে একটি দুর্বলতা কাজে লাগিয়েছে। দূষিত ক্রিয়াগুলি স্থানীয় এক্সিকিউটেবল ফাইলগুলিতে পরিবর্তন করতে এবং বাইরে থেকে এগুলি পুনরায় লোড না করার জন্য একটি স্ক্রিপ্ট ব্যবহার করে সার্ভারে স্থানীয়ভাবে সঞ্চালিত হয়েছিল।
প্রকল্পের লেখক নিশ্চিত করে যে কেবলমাত্র তার কাছে সিস্টেমে প্রশাসক অ্যাক্সেস ছিল, অ্যাক্সেসটি কোনও আইপি ঠিকানার মধ্যে সীমাবদ্ধ ছিল এবং এটি যে উইন্ডোজ অপারেটিং সিস্টেমটি আপ টু ডেট ছিল এবং বাইরের আক্রমণ থেকে সুরক্ষিত ছিল।
একই সময়ে, আরডিপি এবং এফটিপি প্রোটোকলগুলি দূরবর্তী অ্যাক্সেসের জন্য ব্যবহার করা হয়েছিল এবং ভার্চুয়াল মেশিনে সম্ভাব্যভাবে নিরাপত্তাহীন সফ্টওয়্যার প্রকাশ করা হয়েছিল, যা হ্যাকের কারণ হতে পারে।
তবে, প্যালে মুনের লেখক সেই সংস্করণটির পক্ষে দিয়েছেন যাতে সরবরাহকারীর ভার্চুয়াল মেশিন অবকাঠামোর অপর্যাপ্ত সুরক্ষার কারণে হ্যাকটি করা হয়েছিল (উদাহরণস্বরূপ, স্ট্যান্ডার্ড ভার্চুয়ালাইজেশন ম্যানেজমেন্ট ইন্টারফেস ব্যবহার করে অবিশ্বস্ত বিক্রেতা পাসওয়ার্ড নির্বাচনের মাধ্যমে ওপেনএসএসএল ওয়েবসাইট হ্যাক করা হয়েছিল) )