Sa daghang dagkong mga cluster sa kompyuter nga nahimutang sa mga supercomputing center sa UK, Germany, Switzerland ug Spain, mga timailhan sa pag-hack sa imprastraktura ug pag-instalar sa malware alang sa gitago nga pagmina sa Monero (XMR) cryptocurrency. Ang usa ka detalyado nga pag-analisar sa mga insidente wala pa magamit, apan sumala sa pasiuna nga datos, ang mga sistema nakompromiso ingon usa ka sangputanan sa pagpangawat sa mga kredensyal gikan sa mga sistema sa mga tigdukiduki nga adunay access sa pagpadagan sa mga buluhaton sa mga pungpong (bag-ohay lang, daghang mga cluster ang naghatag ug access sa mga tigdukiduki sa ikatulo nga partido nga nagtuon sa SARS-CoV-2 coronavirus ug nagpahigayon sa pagmodelo sa proseso nga adunay kalabotan sa impeksyon sa COVID-19). Human maka-access sa cluster sa usa sa mga kaso, gipahimuslan sa mga tig-atake ang kahuyang sa kinauyokan Linux para makakuha og root access ug maka-install og rootkit.
duha ka insidente diin ang mga tig-atake migamit sa mga kredensyal nga nakuha gikan sa mga tiggamit gikan sa University of Krakow (Poland), Shanghai Transport University (China) ug sa Chinese Scientific Network. Ang mga kredensyal nakuha gikan sa mga partisipante sa internasyonal nga mga programa sa panukiduki ug gigamit sa pagkonektar sa mga cluster pinaagi sa SSH. Dili pa klaro kung giunsa pagkuha ang mga kredensyal, apan sa pipila nga mga sistema (dili tanan) sa mga biktima sa pagtulo sa password, nakit-an ang mga spoofed SSH executable file.
Ingon nga resulta, ang mga tig-atake access sa UK-based (University of Edinburgh) cluster , niranggo sa ika-334 sa Top500 nga kinadak-ang supercomputers. Ang pagsunod sa susama nga mga penetrasyon sa mga cluster bwUniCluster 2.0 (Karlsruhe Institute of Technology, Germany), ForHLR II (Karlsruhe Institute of Technology, Germany), bwForCluster JUSTUS (Ulm University, Germany), bwForCluster BinAC (University of Tübingen, Germany) ug Hawk (University of Stuttgart, Germany).
Impormasyon bahin sa mga insidente sa seguridad sa cluster sa (CSCS), ( sa top500), (Germany) ug (, и mga dapit sa Top500). Dugang pa, gikan sa mga empleyado Ang kasayuran bahin sa pagkompromiso sa imprastraktura sa High Performance Computing Center sa Barcelona (Spain) wala pa opisyal nga nakumpirma.
kausaban
, nga ang duha ka malisyoso nga executable nga mga file gi-download ngadto sa nakompromiso nga mga server, diin ang suid root flag gibutang: "/etc/fonts/.fonts" ug "/etc/fonts/.low". Ang una usa ka bootloader alang sa pagpadagan sa mga shell command nga adunay mga pribilehiyo sa gamut, ug ang ikaduha usa ka log cleaner alang sa pagtangtang sa mga bakas sa kalihokan sa tig-atake. Nagkalain-laing mga teknik ang gigamit sa pagtago sa makadaot nga mga sangkap, lakip na ang pag-instalar og rootkit. , gikarga isip usa ka module para sa kernel LinuxSa usa ka kaso, ang proseso sa pagmina gisugdan lamang sa gabii aron malikayan ang pagdani sa atensyon.
Kung ma-hack na, ang host mahimong magamit sa paghimo sa lainlaing mga buluhaton, sama sa pagmina sa Monero (XMR), pagpadagan sa usa ka proxy (aron makigsulti sa ubang mga host sa pagmina ug ang server nga nag-coordinate sa pagmina), pagpadagan sa usa ka proxy nga SOCKS nga nakabase sa microSOCKS (aron dawaton ang gawas. koneksyon pinaagi sa SSH) ug pagpasa sa SSH (ang nag-unang punto sa penetration gamit ang usa ka nakompromiso nga account diin ang usa ka tighubad sa address gi-configure alang sa pagpasa ngadto sa internal nga network). Kung nagkonektar sa nakompromiso nga mga host, ang mga tig-atake migamit sa mga host nga adunay mga proxy nga SOCKS ug kasagaran nga konektado pinaagi sa Tor o uban pang mga nakompromiso nga sistema.
Source: opennet.ru
