У некалькіх буйных вылічальных кластарах, якія знаходзяцца ў суперкампутарных цэнтрах Вялікабрытаніі, Германіі, Швейцарыі і Іспаніі, сляды ўзломаў інфраструктуры і ўсталёўкі шкоднаснага ПА для ўтоенага майнінгу криптовалюты Monero (XMR). Дэталёвы разбор інцыдэнтаў пакуль недаступны, але па папярэдніх дадзеных сістэмы былі скампраметаваныя ў выніку крадзяжу ўліковых дадзеных з сістэм даследчыкаў, якія маюць доступ на запуск заданняў у кластарах (апошні час многія кластары даюць доступ іншым даследчыкам, якія вывучаюць каранавірус SARS-CoV-2 і праводзяць мадэляванне працэсаў , звязаных з інфекцыяй COVID-19). Пасля атрымання доступу да кластара ў адным з выпадкаў атакавалыя эксплуатавалі ўразлівасць. у ядры Linux для атрымання root-доступу і ўсталёўкі руткіту.
два інцыдэнты, падчас якіх атакуючыя скарысталіся ўліковымі дадзенымі, захопленымі ў карыстальнікаў з Кракаўскага ўніверсітэта (Польшча), Шанхайскага ўніверсітэта транспарту (Кітай) і Кітайскай навуковай сеткі. Уліковыя дадзеныя былі захопленыя ва ўдзельнікаў міжнародных даследчых праграм і выкарыстоўваліся для падлучэння да кластараў па SSH. Як менавіта былі захопленыя ўліковыя дадзеныя пакуль не ясна, але на некаторых сістэмах (не на ўсіх) ахвяр уцечкі пароляў былі выяўлены падмененыя выкананыя файлы SSH.
У выніку атакуючыя доступ да кластара, які знаходзіцца ў Вялікабрытаніі (Эдынбургскі універсітэт). , які займае 334 месца ў Top500 найбуйнейшых суперкампутараў. Следам падобныя пранікненні былі у кластарах bwUniCluster 2.0 (Тэхналагічны інстытут Карлсруэ, Германія), ForHLR II (Тэхналагічны інстытут Карлсруэ, Германія), bwForCluster JUSTUS (Ульмскі ўніверсітэт, Германія), bwForCluster BinAC (Цюбінгенскі ўніверсітэт, Германія) і Hawk (Штутгарцкі ўніверсітэт, Германія).
Пазней была пацверджана інфармацыя аб інцыдэнтах з бяспекай кластараў у (CSCS), ( у top500), (Германія) і (, и месцы ў Top500). Акрамя таго, ад супрацоўнікаў пакуль афіцыйна не пацверджаная інфармацыя аб кампраметацыі інфраструктуры Цэнтра высокапрадукцыйных вылічэнняў у Барселоне (Іспанія).
змен
, што на скампраметаваныя серверы загружаліся два шкоднасных выкананых файла, для якіх быў усталяваны сцяг suid root: "/etc/fonts/.fonts" і "/etc/fonts/.low". Першы ўяўляе сабой загрузнік для запуску shell-каманд з прывілеямі root, а другі - чысцільшчык логаў для выдалення слядоў актыўнасці зламыснікаў. Для ўтойвання шкоднасных кампанентаў выкарыстоўваліся розныя тэхнікі, уключаючы ўстаноўку руткі. , загружанага ў форме модуля для ядра Linux. У адным выпадку працэс майнінгу запускаўся толькі ў начны час, каб не прыцягваць увагу.
Пасля ўзлому хост мог выкарыстоўвацца для выканання розных задач, такіх як майнінг криптовалюты Monero (XMR), запуск проксі (для ўзаемадзеяння з іншымі хастамі, якія выконваюць майнінг, і серверам каардынуючым майнінг), запуск SOCKS-проксі на базе microSOCKS (для прыёму вонкавых злучэнняў SSH) і пракід SSH (першасны пункт пранікнення пры дапамозе скампраметаванага ўліковага запісу, на якім наладжваўся транслятар адрасоў для пракіду ва ўнутраную сетку). Пры падлучэнні да ўзламаных вузлоў атакавалыя выкарыстоўвалі хасты з SOCKS-проксі і, як правіла, падлучаліся праз Tor або іншыя ўзламаныя сістэмы.
Крыніца: opennet.ru