U nekoliko velikih računarskih klastera smeštenih u superračunarskim centrima u Velikoj Britaniji, Nemačkoj, Švajcarskoj i Španiji, tragovi hakovanja infrastrukture i instaliranje zlonamjernog softvera za skriveno rudarenje kriptovalute Monero (XMR). Detaljna analiza incidenata još nije dostupna, ali prema preliminarnim podacima, sistemi su kompromitovani kao rezultat krađe akreditiva iz sistema istraživača koji su imali pristup izvršavanju zadataka u klasterima (nedavno mnogi klasteri omogućavaju pristup istraživači trećih strana koji proučavaju SARS-CoV-2 koronavirus i provode modeliranje procesa povezanog s infekcijom COVID-19). Nakon što su u jednom od slučajeva dobili pristup klasteru, napadači su iskoristili ranjivost u Linux kernelu da dobijete root pristup i instalirate rootkit.
dva incidenta u kojima su napadači koristili akreditive preuzete od korisnika sa Univerziteta u Krakovu (Poljska), Šangajskog transportnog univerziteta (Kina) i Kineske naučne mreže. Akreditacije su preuzete od učesnika u međunarodnim istraživačkim programima i korištene za povezivanje s klasterima putem SSH-a. Još nije jasno kako su tačno akreditivi uhvaćeni, ali na nekim sistemima (ne na svim) od žrtava curenja lozinke, otkrivene su lažne SSH izvršne datoteke.
Kao rezultat toga, napadači pristup klasteru sa sjedištem u Velikoj Britaniji (Univerzitet u Edinburgu). , rangiran na 334. mjestu u Top 500 najvećih superkompjutera. Sljedeći su slični prodori u klasterima bwUniCluster 2.0 (Tehnološki institut Karlsruhe, Njemačka), ForHLR II (Tehnološki institut Karlsruhe, Njemačka), bwForCluster JUSTUS (Univerzitet Ulm, Njemačka), bwForCluster BinAC (Univerzitet u Tübingenu, Njemačka) i Hawk (Univerzitet u Stuttgartu, Njemačka).
Informacije o sigurnosnim incidentima klastera u (CSCS), ( u top 500), (Njemačka) i (, и mjesta u Top 500). Osim toga, od zaposlenih informacija o kompromitovanju infrastrukture Računskog centra visokih performansi u Barseloni (Španija) još nije zvanično potvrđena.
promjene
, da su dvije zlonamjerne izvršne datoteke preuzete na kompromitovane servere, za koje je postavljena suid root zastavica: “/etc/fonts/.fonts” i “/etc/fonts/.low”. Prvi je pokretač za pokretanje komandi ljuske sa root privilegijama, a drugi je čistač dnevnika za uklanjanje tragova aktivnosti napadača. Korištene su različite tehnike za skrivanje zlonamjernih komponenti, uključujući instaliranje rootkita. , učitan kao modul za Linux kernel. U jednom slučaju, proces rudarenja je započet samo noću, kako ne bi privukao pažnju.
Jednom hakovan, host bi se mogao koristiti za obavljanje različitih zadataka, kao što je rudarenje Monera (XMR), pokretanje proxyja (za komunikaciju sa drugim rudarskim domaćinima i serverom koji koordinira rudarenje), pokretanje SOCKS proxyja zasnovanog na microSOCKS (za prihvatanje eksternog veze preko SSH) i SSH prosljeđivanje (primarna tačka penetracije korištenjem kompromitovanog naloga na kojem je konfiguriran prevoditelj adresa za prosljeđivanje na internu mrežu). Prilikom povezivanja na kompromitovane hostove, napadači su koristili hostove sa SOCKS proksijima i obično su se povezivali preko Tor-a ili drugih kompromitovanih sistema.
izvor: opennet.ru