En diversos grans clústers informàtics situats en centres de supercomputació al Regne Unit, Alemanya, Suïssa i Espanya, rastres de pirateria d'infraestructura i instal·lació de programari maliciós per a la mineria oculta de la criptomoneda Monero (XMR). Encara no es disposa d'una anàlisi detallada dels incidents, però segons dades preliminars, els sistemes es van veure compromesos com a conseqüència del robatori de credencials dels sistemes d'investigadors que tenien accés per executar tasques en clústers (recentment, molts clústers proporcionen accés a investigadors de tercers que estudien el coronavirus SARS-CoV-2 i realitzen models de processos associats a la infecció per COVID-19). Després d'obtenir accés al clúster en un dels casos, els atacants van explotar la vulnerabilitat al nucli de Linux per obtenir accés root i instal·lar un rootkit.
dos incidents en què els atacants van utilitzar credencials capturades d'usuaris de la Universitat de Cracòvia (Polònia), la Universitat de Transport de Xangai (Xina) i la Xarxa Científica Xinesa. Les credencials es van capturar dels participants en programes de recerca internacionals i es van utilitzar per connectar-se als clústers mitjançant SSH. Encara no està clar com es van capturar exactament les credencials, però en alguns sistemes (no tots) de les víctimes de la filtració de contrasenyes es van detectar fitxers executables SSH falsificats.
Com a resultat, els atacants accés al clúster amb seu al Regne Unit (Universitat d'Edimburg). , ocupa el lloc 334 entre els 500 supercomputadors més grans. Les següents penetracions similars van ser als clústers bwUniCluster 2.0 (Karlsruhe Institute of Technology, Alemanya), ForHLR II (Karlsruhe Institute of Technology, Alemanya), bwForCluster JUSTUS (Universitat d'Ulm, Alemanya), bwForCluster BinAC (Universitat de Tübingen, Alemanya) i Hawk (Universitat de Stuttgart, Alemanya).
Informació sobre incidents de seguretat del clúster a (CSCS), ( al top 500), (Alemanya) i (, и llocs al Top500). A més, dels empleats La informació sobre el compromís de la infraestructura del Centre de Computació d'Alt Rendiment de Barcelona (Espanya) encara no s'ha confirmat oficialment.
canvis
, que es van baixar dos fitxers executables maliciosos als servidors compromesos, per als quals es va establir la marca d'arrel suid: "/etc/fonts/.fonts" i "/etc/fonts/.low". El primer és un carregador d'arrencada per executar ordres de l'intèrpret d'ordres amb privilegis d'arrel, i el segon és un netejador de registres per eliminar rastres de l'activitat de l'atacant. S'han utilitzat diverses tècniques per ocultar components maliciosos, inclosa la instal·lació d'un rootkit. , carregat com a mòdul per al nucli Linux. En un cas, el procés miner es va iniciar només a la nit, per no cridar l'atenció.
Un cop piratejat, l'amfitrió es podria utilitzar per realitzar diverses tasques, com ara minar Monero (XMR), executar un servidor intermediari (per comunicar-se amb altres amfitrions de mineria i el servidor que coordina la mineria), executar un servidor intermediari SOCKS basat en microSOCKS (per acceptar un servidor intermediari extern). connexions mitjançant SSH) i reenviament SSH (el punt principal de penetració mitjançant un compte compromès en el qual es va configurar un traductor d'adreces per reenviar-lo a la xarxa interna). Quan es connectaven a amfitrions compromeses, els atacants utilitzaven amfitrions amb servidors intermediaris SOCKS i normalment es connectaven mitjançant Tor o altres sistemes compromesos.
Font: opennet.ru