Mewn sawl clwstwr cyfrifiadura mawr wedi'u lleoli mewn canolfannau uwchgyfrifiaduron yn y DU, yr Almaen, y Swistir a Sbaen, Mae olion haciau seilwaith a gosod meddalwedd faleisus ar gyfer cloddio cudd y crypto-feddalwedd Monero (XMR) wedi'u canfod. Nid oes dadansoddiad manwl o'r digwyddiadau ar gael eto, ond mae data rhagarweiniol yn awgrymu bod y systemau wedi'u peryglu trwy ddwyn manylion gan ymchwilwyr â mynediad i redeg swyddi mewn clystyrau (mae llawer o glystyrau wedi bod yn darparu mynediad i ymchwilwyr trydydd parti yn ddiweddar sy'n astudio'r coronafeirws SARS-CoV-2 a phrosesau modelu sy'n gysylltiedig â haint COVID-19). Ar ôl cael mynediad i'r glwstwr, mewn un achos, manteisiodd yr ymosodwyr ar wendid. yn y craidd Linux для получения root-доступа и установки руткита.
Roedd dau ddigwyddiad yn cynnwys ymosodwyr yn defnyddio manylion mewngofnodi a gipiwyd gan ddefnyddwyr ym Mhrifysgol Krakow (Gwlad Pwyl), Prifysgol Shanghai Jiaotong (Tsieina), a Rhwydwaith Gwyddoniaeth Tsieina. Cafodd y manylion mewngofnodi eu cipio gan gyfranogwyr mewn rhaglenni ymchwil rhyngwladol a'u defnyddio i gysylltu â chlystyrau trwy SSH. Mae sut yn union y cipiwyd y manylion mewngofnodi yn dal yn aneglur, ond canfuwyd ffeiliau gweithredadwy SSH ffug ar rai (nid pob) system dioddefwyr y gollyngiad cyfrinair.
O ganlyniad, yr ymosodwyr mynediad i glwstwr wedi'i leoli yn y DU (Prifysgol Caeredin) , yn safle 334 yn y 500 uwchgyfrifiadur mwyaf. Dilynodd ymyriadau tebyg. yn y clystyrau bwUniCluster 2.0 (Sefydliad Technoleg Karlsruhe, yr Almaen), ForHLR II (Sefydliad Technoleg Karlsruhe, yr Almaen), bwForCluster JUSTUS (Prifysgol Ulm, yr Almaen), bwForCluster BinAC (Prifysgol Tübingen, yr Almaen) a Hawk (Prifysgol Stuttgart, yr Almaen).
Yn ddiweddarach, gwybodaeth am ddigwyddiadau diogelwch gyda chlystyrau yn (CSCS), ( yn y 500 uchaf), (yr Almaen) a (, и lleoedd yn y Top500). Yn ogystal, gan weithwyr Mae gwybodaeth heb ei chadarnhau o hyd am beryglu seilwaith y Ganolfan Gyfrifiadura Perfformiad Uchel yn Barcelona (Sbaen).
newidiadau
Cafodd dau ffeil weithredadwy faleisus gyda'r faner gwraidd suid wedi'i gosod eu huwchlwytho i weinyddion sydd wedi'u peryglu: "/etc/fonts/.fonts" a "/etc/fonts/.low." Y cyntaf yw llwythwr ar gyfer rhedeg gorchmynion cragen gyda breintiau gwraidd, a'r ail yw glanhawr logiau i gael gwared ar olion gweithgaredd yr ymosodwyr. Defnyddiwyd amrywiol dechnegau i guddio'r cydrannau maleisus, gan gynnwys gosod pecyn gwraidd. , загружаемого в форме модуля для ядра Linux. В одном случае процесс майнинга запускался только в ночное время, чтобы не привлекать внимание.
Ar ôl ei gyfaddawdu, gellid defnyddio'r gwesteiwr ar gyfer amrywiol dasgau, megis cloddio Monero (XMR), rhedeg dirprwy (ar gyfer cyfathrebu â gwesteiwyr cloddio eraill a'r gweinydd yn cydlynu'r cloddio), rhedeg dirprwy SOCKS sy'n seiliedig ar microSOCKS (ar gyfer derbyn cysylltiadau SSH allanol), ac anfon ymlaen SSH (y prif bwynt mynediad gan ddefnyddio cyfrif wedi'i gyfaddawdu wedi'i ffurfweddu â chyfieithydd cyfeiriadau ar gyfer anfon ymlaen i'r rhwydwaith mewnol). Wrth gysylltu â'r nodau wedi'u peryglu, defnyddiodd yr ymosodwyr westeiwyr gyda dirprwyon SOCKS ac fel arfer roeddent yn cysylltu trwy Tor neu systemau eraill wedi'u peryglu.
Ffynhonnell: opennet.ru
