Böyük Britaniya, Almaniya, İsveçrə və İspaniyadakı super hesablama mərkəzlərində yerləşən bir neçə böyük hesablama klasterlərində, infrastrukturun sındırılması və Monero (XMR) kriptovalyutasının gizli mədənləşdirilməsi üçün zərərli proqramların quraşdırılması izləri. Hadisələrin təfərrüatlı təhlili hələ mövcud deyil, lakin ilkin məlumatlara görə, klasterlərdə tapşırıqları yerinə yetirmək imkanı olan tədqiqatçıların sistemlərindən etimadnamələrin oğurlanması nəticəsində sistemlər pozulmuşdur (son zamanlarda bir çox klasterlər SARS-CoV-2 koronavirusunu öyrənən və COVID-19 infeksiyası ilə əlaqəli proseslərin modelləşdirilməsini aparan üçüncü tərəf tədqiqatçılar). İşlərdən birində klasterə giriş əldə etdikdən sonra təcavüzkarlar zəiflikdən istifadə etdilər. kök girişi əldə etmək və rootkit quraşdırmaq üçün Linux nüvəsində.
Təcavüzkarların Krakov Universiteti (Polşa), Şanxay Nəqliyyat Universiteti (Çin) və Çin Elmi Şəbəkəsindən istifadəçilərdən alınan etimadnamələrdən istifadə etdiyi iki insident. Etibarnamələr beynəlxalq tədqiqat proqramlarının iştirakçılarından götürülüb və SSH vasitəsilə klasterlərə qoşulmaq üçün istifadə edilib. Etibarnamələrin dəqiq necə ələ keçirildiyi hələ aydın deyil, lakin parol sızmasının qurbanlarının bəzi sistemlərində (hamısı deyil) saxta SSH icra edilə bilən faylları aşkar edilib.
Nəticədə hücum edənlər Böyük Britaniyada yerləşən (Edinburq Universiteti) klasterinə giriş , Top334 ən böyük superkompüterdə 500-cü yerdə qərarlaşıb. Oxşar penetrasiyaların ardından edildi klasterlərdə bwUniCluster 2.0 (Karlsruhe Texnologiya İnstitutu, Almaniya), ForHLR II (Karlsruhe Texnologiya İnstitutu, Almaniya), bwForCluster JUSTUS (Ulm Universiteti, Almaniya), bwForCluster BinAC (Tübingen Universiteti, Almaniya) və Hawk (Ştutqart Universiteti, Universiteti) Almaniya).
klaster təhlükəsizliyi insidentləri haqqında məlumat (CSCS), ( ilk 500-də), (Almaniya) və (, и Top500-də yerlər). Bundan əlavə, işçilərdən Barselonada (İspaniya) Yüksək Performanslı Hesablama Mərkəzinin infrastrukturunun kompromisə getməsi ilə bağlı məlumatlar hələ ki, rəsmi təsdiqini tapmayıb.
dəyişikliklər
, iki zərərli icra edilə bilən faylın təhlükəyə məruz qalmış serverlərə yükləndiyini və bunun üçün suid kök bayrağının təyin olunduğunu: “/etc/fonts/.fonts” və “/etc/fonts/.low”. Birincisi, kök imtiyazları olan qabıq əmrlərini yerinə yetirmək üçün yükləyici, ikincisi isə təcavüzkar fəaliyyətinin izlərini silmək üçün jurnal təmizləyicisidir. Zərərli komponentləri gizlətmək üçün müxtəlif üsullardan, o cümlədən rootkitin quraşdırılmasından istifadə edilmişdir. , Linux nüvəsi üçün modul kimi yüklənmişdir. Bir halda diqqəti cəlb etməmək üçün mədən prosesinə yalnız gecə saatlarında start verilib.
Hack edildikdən sonra host müxtəlif tapşırıqları yerinə yetirmək üçün istifadə edilə bilər, məsələn, Monero (XMR) mədənçilik, proksi idarə etmək (digər mədən hostları ilə əlaqə saxlamaq və mədən işini koordinasiya edən server), microSOCKS əsaslı SOCKS proksisini işə salmaq (xarici qəbul etmək üçün). SSH vasitəsilə bağlantılar) və SSH yönləndirilməsi (daxili şəbəkəyə yönləndirmə üçün ünvan tərcüməçisinin konfiqurasiya olunduğu güzəşt edilmiş hesabdan istifadə edərək əsas nüfuz nöqtəsi). Təcavüzkarlar təhlükə altında olan hostlara qoşulduqda SOCKS proksiləri olan hostlardan istifadə edirdilər və adətən Tor və ya digər təhlükəli sistemlər vasitəsilə qoşulurdular.
Mənbə: opennet.ru