In parechji grandi clusters di computer situati in centri di supercomputing in u Regnu Unitu, Germania, Svizzera è Spagna, tracce di pirate di l'infrastruttura è a stallazione di malware per a minazione nascosta di a criptocurrency Monero (XMR). Un analisi detallatu di l'incidenti ùn hè micca ancu dispunibule, ma sicondu i dati preliminari, i sistemi sò stati cumprumessi per via di u robba di credenziali da i sistemi di circadori chì avianu accessu à eseguisce compiti in clusters (ricertamenti, assai clusters furniscenu accessu à circadori di terzu chì studianu u coronavirus SARS-CoV-2 è cunducenu a mudeli di prucessu assuciata à l'infezione da COVID-19). Dopu avè acquistatu l'accessu à u cluster in unu di i casi, l'attaccanti sfruttavanu a vulnerabilità in u kernel Linux per acquistà l'accessu root è installà un rootkit.
dui incidenti in quale l'attaccanti anu utilizatu credenziali catturati da l'utilizatori di l'Università di Cracovia (Polonia), l'Università di Trasporti di Shanghai (Cina) è a Rete Scientifica Cinese. I credenziali sò stati catturati da i participanti in i prugrammi di ricerca internaziunali è usati per cunnette cù cluster via SSH. Cumu esattamente e credenziali sò state catturate ùn hè micca chjaru, ma in certi sistemi (micca tutti) di e vittime di a fuga di password, i fugliali eseguibili SSH falsi sò stati rilevati.
In u risultatu, l'attaccanti accessu à u cluster basatu in u Regnu Unitu (Università di Edimburgo). , classificatu 334th in u Top500 più grande supercomputer. Doppu penetrazioni simili sò stati in i clusters bwUniCluster 2.0 (Karlsruhe Institute of Technology, Germania), ForHLR II (Karlsruhe Institute of Technology, Germania), bwForCluster JUSTUS (Università di Ulm, Germania), bwForCluster BinAC (Università di Tubinga, Germania) è Hawk (Università di Stuttgart, Alemagna).
L'infurmazioni nantu à l'incidenti di sicurezza di cluster in (CSCS), ( in cima 500), (Germania) è (, и posti in u Top 500). Inoltre, da l'impiegati infurmazione nantu à u cumprumissu di l'infrastruttura di u Centru di Computing High Performance in Barcelona (Spagna) ùn hè micca statu cunfirmatu ufficialmente.
cambiamenti
, chì dui fugliali eseguibili maliziusi sò stati scaricati à i servitori cumprumessi, per quale a bandiera di root suid hè stata stabilita: "/etc/fonts/.fonts" è "/etc/fonts/.low". U primu hè un bootloader per eseguisce cumandamenti di shell cù privilegi di root, è u sicondu hè un pulitore di log per sguassà tracce di attività di l'attaccante. Diverse tecniche sò state aduprate per ammuccià cumpunenti maliziusi, cumpresa a stallazione di un rootkit. , caricatu cum'è un modulu per u kernel Linux. In un casu, u prucessu di a minera hè stata cuminciata solu di notte, per ùn attrae l'attenzione.
Una volta pirate, l'ospitu puderia esse usatu per eseguisce diverse attività, cum'è mining Monero (XMR), eseguisce un proxy (per cumunicà cù altri ospiti minieri è u servitore chì coordina a minera), esegue un proxy SOCKS basatu in microSOCKS (per accettà esterni). cunnessione via SSH) è SSH forwarding (u puntu primariu di penetrazione cù un cuntu cumprumissu nantu à quale un traduttore di indirizzu hè statu cunfiguratu per trasmette à a reta interna). Quandu si cunnetta à l'ospiti cumprumessi, l'attaccanti anu utilizatu ospiti cù proxy SOCKS è tipicamente cunnessi attraversu Tor o altri sistemi cumprumessi.
Source: opennet.ru