في العديد من مجموعات الحوسبة الكبيرة الموجودة في مراكز الحوسبة الفائقة في المملكة المتحدة وألمانيا وسويسرا وإسبانيا، آثار اختراق البنية التحتية وتثبيت برامج ضارة للتعدين الخفي للعملة المشفرة Monero (XMR). لا يتوفر بعد تحليل مفصل للحوادث، ولكن وفقًا للبيانات الأولية، تم اختراق الأنظمة نتيجة لسرقة بيانات الاعتماد من أنظمة الباحثين الذين لديهم إمكانية الوصول إلى تشغيل المهام في مجموعات (مؤخرًا، توفر العديد من المجموعات إمكانية الوصول إلى باحثون خارجيون يدرسون فيروس كورونا SARS-CoV-2 ويقومون بنمذجة العمليات المرتبطة بعدوى فيروس كورونا (COVID-19). وبعد الوصول إلى المجموعة في إحدى الحالات، استغل المهاجمون الثغرة الأمنية في Linux kernel للوصول إلى الجذر وتثبيت برنامج rootkit.
حادثتان استخدم فيهما المهاجمون بيانات اعتماد تم الحصول عليها من مستخدمين من جامعة كراكوف (بولندا)، وجامعة شنغهاي للنقل (الصين) وشبكة العلوم الصينية. تم الحصول على بيانات الاعتماد من المشاركين في برامج البحث الدولية واستخدامها للاتصال بالمجموعات عبر SSH. ليس من الواضح بعد كيف تم التقاط بيانات الاعتماد بالضبط، ولكن في بعض الأنظمة (وليس كلها) لضحايا تسرب كلمة المرور، تم التعرف على ملفات SSH القابلة للتنفيذ والمنتحلة.
ونتيجة لذلك، المهاجمين الوصول إلى المجموعة ومقرها المملكة المتحدة (جامعة إدنبرة). ، في المرتبة 334 في قائمة أفضل 500 كمبيوتر خارق. بعد اختراقات مماثلة كانت في المجموعات bwUniCluster 2.0 (معهد كارلسروه للتكنولوجيا، ألمانيا)، وForHLR II (معهد كارلسروه للتكنولوجيا، ألمانيا)، وbwForCluster JUSTUS (جامعة أولم، ألمانيا)، وbwForCluster BinAC (جامعة توبنغن، ألمانيا) وهوك (جامعة شتوتغارت، ألمانيا).
معلومات حول حوادث الأمن العنقودي في (كسس)، ( في أعلى 500)، (ألمانيا) و (, и أماكن في Top500). بالإضافة إلى ذلك من الموظفين لم يتم تأكيد المعلومات المتعلقة باختراق البنية التحتية لمركز الحوسبة عالية الأداء في برشلونة (إسبانيا) رسميًا بعد.
تغيير
، أنه تم تنزيل ملفين ضارين قابلين للتنفيذ إلى الخوادم المخترقة، حيث تم تعيين علامة الجذر suid لهما: "/etc/fonts/.fonts" و"/etc/fonts/.low". الأول عبارة عن أداة تحميل تشغيل لتشغيل أوامر shell بامتيازات الجذر، والثانية عبارة عن أداة تنظيف السجلات لإزالة آثار نشاط المهاجم. تم استخدام تقنيات مختلفة لإخفاء المكونات الضارة، بما في ذلك تثبيت برنامج rootkit. ، تم تحميلها كوحدة نمطية لنواة Linux. وفي إحدى الحالات، لم تبدأ عملية التعدين إلا ليلاً، حتى لا تجذب الانتباه.
بمجرد الاختراق، يمكن استخدام المضيف لأداء مهام مختلفة، مثل تعدين Monero (XMR)، وتشغيل وكيل (للتواصل مع مضيفي التعدين الآخرين والخادم الذي ينسق التعدين)، وتشغيل بروكسي SOCKS القائم على microSOCKS (لقبول العناصر الخارجية الاتصالات عبر SSH) وإعادة توجيه SSH (نقطة الاختراق الأساسية باستخدام حساب مخترق تم تكوين مترجم عنوان عليه لإعادة التوجيه إلى الشبكة الداخلية). عند الاتصال بالمضيفين المخترقين، استخدم المهاجمون مضيفين لديهم وكلاء SOCKS وعادةً ما كانوا متصلين عبر Tor أو أنظمة أخرى مخترقة.
المصدر: opennet.ru