V několika velkých počítačových clusterech umístěných v superpočítačových centrech ve Velké Británii, Německu, Švýcarsku a Španělsku, stopy po hackování infrastruktury a instalaci malwaru pro skrytou těžbu kryptoměny Monero (XMR). Podrobná analýza incidentů zatím není k dispozici, ale podle předběžných údajů byly systémy kompromitovány v důsledku krádeže přihlašovacích údajů ze systémů výzkumníků, kteří měli přístup ke spouštění úloh v clusterech (v poslední době mnoho clusterů poskytuje přístup k výzkumní pracovníci třetích stran, kteří studují koronavirus SARS-CoV-2 a provádějí modelování procesů souvisejících s infekcí COVID-19). Po získání přístupu ke clusteru v jednom z případů útočníci zneužili zranitelnost v jádře Linuxu, abyste získali přístup root a nainstalovali rootkit.
dva incidenty, ve kterých útočníci použili přihlašovací údaje získané od uživatelů z University of Krakow (Polsko), Shanghai Transport University (Čína) a Chinese Scientific Network. Pověření byla získána od účastníků mezinárodních výzkumných programů a použita k připojení ke klastrům prostřednictvím SSH. Jak přesně byly přihlašovací údaje zachyceny, zatím není jasné, ale na některých systémech (ne na všech) obětech úniku hesla byly detekovány podvržené spustitelné soubory SSH.
V důsledku toho útočníci přístup do klastru se sídlem ve Spojeném království (University of Edinburgh). , se umístil na 334. místě v žebříčku Top500 největších superpočítačů. Následovaly podobné průniky v klastrech bwUniCluster 2.0 (Karlsruhe Institute of Technology, Německo), ForHLR II (Karlsruhe Institute of Technology, Německo), bwForCluster JUSTUS (Ulm University, Německo), bwForCluster BinAC (University of Tübingen, Německo) a Hawk (University of Stuttgart, Německo).
Informace o bezpečnostních incidentech clusteru v (CSCS), ( v top 500), (Německo) a (, и místa v Top 500). Navíc od zaměstnanců informace o kompromitaci infrastruktury High Performance Computing Center v Barceloně (Španělsko) zatím nebyly oficiálně potvrzeny.
změny
, že na napadené servery byly staženy dva škodlivé spustitelné soubory, pro které byl nastaven příznak suid root: „/etc/fonts/.fonts“ a „/etc/fonts/.low“. První je zavaděč pro spouštění příkazů shellu s právy root a druhý je čistič protokolů pro odstranění stop aktivity útočníka. Ke skrytí škodlivých komponent byly použity různé techniky, včetně instalace rootkitu. , načtený jako modul pro linuxové jádro. V jednom případě byl proces těžby zahájen až v noci, aby nevzbudil pozornost.
Jakmile je hostitel hacknut, mohl být použit k provádění různých úkolů, jako je těžba Monero (XMR), spouštění proxy (pro komunikaci s ostatními hostiteli těžby a serverem koordinujícím těžbu), spouštění proxy SOCKS založeného na microSOCKS (pro přijímání externích připojení přes SSH) a přesměrování SSH (primární bod průniku pomocí kompromitovaného účtu, na kterém byl nakonfigurován překladač adres pro přeposílání do vnitřní sítě). Při připojování ke kompromitovaným hostitelům útočníci používali hostitele se SOCKS proxy a obvykle se připojovali přes Tor nebo jiné kompromitované systémy.
Zdroj: opennet.ru