В няколко големи компютърни клъстера, разположени в суперкомпютърни центрове във Великобритания, Германия, Швейцария и Испания, следи от хакване на инфраструктура и инсталиране на зловреден софтуер за скрито копаене на криптовалутата Monero (XMR). Все още не е наличен подробен анализ на инцидентите, но по предварителни данни системите са били компрометирани в резултат на кражба на идентификационни данни от системи на изследователи, които са имали достъп до изпълнение на задачи в клъстери (напоследък много клъстери предоставят достъп до изследователи от трети страни, изучаващи коронавируса SARS-CoV-2 и провеждащи моделиране на процеси, свързани с инфекция с COVID-19). След като получиха достъп до клъстера в един от случаите, нападателите се възползваха от уязвимостта в ядрото на Linux, за да получите root достъп и да инсталирате руткит.
два инцидента, при които нападателите са използвали идентификационни данни, взети от потребители от университета в Краков (Полша), Шанхайския транспортен университет (Китай) и Китайската научна мрежа. Идентификационните данни бяха взети от участници в международни изследователски програми и използвани за свързване към клъстери чрез SSH. Все още не е ясно как точно са били уловени идентификационните данни, но на някои системи (не всички) на жертвите на изтичането на парола са открити фалшиви SSH изпълними файлове.
В резултат на това нападателите достъп до базирания в Обединеното кралство (Университета на Единбург) клъстер , класиран на 334-то място в Топ500 на най-големите суперкомпютри. След подобни прониквания бяха в клъстерите bwUniCluster 2.0 (Технологичен институт Карлсруе, Германия), ForHLR II (Технологичен институт Карлсруе, Германия), bwForCluster JUSTUS (Университет Улм, Германия), bwForCluster BinAC (Университет на Тюбинген, Германия) и Hawk (Университет на Щутгарт, Германия).
Информация за инциденти със сигурността на клъстера в (CSCS), ( в топ 500), (Германия) и (, и места в Топ 500). Освен това от служителите информацията за компрометирането на инфраструктурата на High Performance Computing Center в Барселона (Испания) все още не е официално потвърдена.
промени
, че два злонамерени изпълними файла са изтеглени на компрометираните сървъри, за които е зададен флагът suid root: “/etc/fonts/.fonts” и “/etc/fonts/.low”. Първият е буутлоудър за изпълнение на команди на обвивката с root привилегии, а вторият е средство за почистване на журнали за премахване на следи от активност на атакуващ. Използвани са различни техники за скриване на злонамерени компоненти, включително инсталиране на руткит. , зареден като модул за ядрото на Linux. В един случай процесът на добив е започнал само през нощта, за да не се привлича внимание.
Веднъж хакнат, хостът може да се използва за изпълнение на различни задачи, като копаене на Monero (XMR), стартиране на прокси (за комуникация с други хостове за копаене и сървъра, координиращ копаене), стартиране на SOCKS-базиран на microSOCKS прокси (за приемане на външни връзки чрез SSH) и SSH препращане (основната точка на проникване, използваща компрометиран акаунт, на който преводач на адреси е конфигуриран за пренасочване към вътрешната мрежа). Когато се свързват с компрометирани хостове, нападателите използват хостове със SOCKS проксита и обикновено се свързват чрез Tor или други компрометирани системи.
Източник: opennet.ru