Аутор прегледача Пале Моон открио је информације о неовлашћеном приступу једном од сервера из веб прегледача „арцхиве.палемоон.орг“, који је чувао архиву претходних верзија прегледача до верзије 27.6.2, укључујући.
У овом приступу нападачи заражени малвером све извршне датотеке на серверу са Инсталатери Пале Моон за прозорс. Према прелиминарним подацима, Замена злонамерног софтвера извршена је 27. децембра 2017. године, а откривена је тек 9. јула 2019. године, односно годину и по дана прошло је незапажено.
Сервер је тренутно онемогућен за истрагу. Сервер са којег су дистрибуирана тренутна издања Пале Моон-а није патио, проблем утиче само на старе верзије оперативног система Виндовс инсталиран са већ описаног сервера (старе верзије се премештају на овај сервер када су доступне нове верзије).
Након добијања приступа, нападачи су селективно заразили све еке датотеке повезане са Пале Моон а то су инсталатори и датотеке које се самораспакују са тројанским софтвером Вин32 / ЦлипБанкер.ДИ намењеним крађи крипто валута заменом адреса биткоина у баферу за размену.
То не утиче на извршне датотеке у зип датотекама. Корисник је могао открити промене у програму за инсталирање провером СХА256 приложеног за хешове или датотеке дигиталног потписа. Сви релевантни антивирусни програми такође успешно откривају злонамерни софтвер.
Током хаковања сервера Пале Моон, аутор прегледача наводи да:
„Сервер је радио на Виндовс-у и покренут је на виртуелној машини под закупом од оператора Франтецх / БуиВМ. "
Још увек није јасно која врста рањивости је искоришћена и да ли је специфична за Виндовс или је утицала на покренуте независне серверске апликације.
О хаковању
26. маја 2019. године, у процесу активности на серверу нападача (није јасно да ли су они исти нападачи као када је извршено прво хаковање или други), прекинуто је нормално функционисање арцхиве.палемоон.орг- Домаћин није успео да се поново покрене и подаци су оштећени.
Укључивање системских дневника је изгубљено, који би могао садржати детаљније трагове који указују на природу напада.
У време ове пресуде администратори нису били свесни обавезе и обновили су рад датотеке користећи ново окружење засновано на ЦентОС-у и замењујући преузимање путем ФТП-а ХТТП-ом.
Како инцидент није виђен на новом серверу, пренете су резервне датотеке које су већ заражене.
Када анализирате могуће узроке компромиса, Претпоставља се да су нападачи стекли приступ добијањем лозинке за налог од особља хостингаДобивши физички приступ серверу, напад на хипервизор за контролу других виртуелних машина, хаковање на веб контролну таблу и пресретање сесије удаљене радне површине било је релативно једноставно.
С друге стране, верује се да су нападачи користили РДП или искористили рањивост у Виндовс серверу. Злонамерне радње извршене су локално на серверу користећи скрипту за измену постојећих извршних датотека, а не за њихово поновно учитавање споља.
Аутор пројекта осигурава да је само он имао администраторски приступ систему, приступ је био ограничен на ИП адресу и да је основни оперативни систем Виндовс био савремен и заштићен од спољних напада.
Истовремено, РДП и ФТП протоколи коришћени су за даљински приступ и потенцијално несигуран софтвер је пуштен на виртуелну машину, што би могло бити узрок хаковања.
Међутим, аутор Пале Моон фаворизује верзију у којој је извршено хаковање због недовољне заштите инфраструктуре виртуелних машина провајдера (на пример, веб локација ОпенССЛ је хакована избором лозинке непоузданог продавца користећи стандардни интерфејс за управљање виртуелизацијом )