Mewn sawl clwstwr cyfrifiadura mawr sydd wedi’u lleoli mewn canolfannau uwchgyfrifiadura yn y DU, yr Almaen, y Swistir a Sbaen, olion hacio seilwaith a gosod meddalwedd faleisus ar gyfer cloddio cudd arian cyfred digidol Monero (XMR). Nid oes dadansoddiad manwl o'r digwyddiadau ar gael eto, ond yn ôl data rhagarweiniol, cyfaddawdwyd y systemau o ganlyniad i ddwyn tystlythyrau o systemau ymchwilwyr a oedd â mynediad i dasgau rhedeg mewn clystyrau (yn ddiweddar, mae llawer o glystyrau yn darparu mynediad i ymchwilwyr trydydd parti yn astudio coronafirws SARS-CoV-2 ac yn cynnal modelu prosesau sy'n gysylltiedig â haint COVID-19). Ar ôl cael mynediad i'r clwstwr yn un o'r achosion, manteisiodd yr ymosodwyr ar y bregusrwydd yn y cnewyllyn Linux i gael mynediad gwraidd a gosod rootkit.
dau ddigwyddiad lle defnyddiodd ymosodwyr gymwysterau a gasglwyd gan ddefnyddwyr o Brifysgol Krakow (Gwlad Pwyl), Prifysgol Trafnidiaeth Shanghai (Tsieina) a'r Rhwydwaith Gwyddoniaeth Tsieineaidd. Casglwyd tystlythyrau gan gyfranogwyr mewn rhaglenni ymchwil rhyngwladol a'u defnyddio i gysylltu â chlystyrau trwy SSH. Nid yw'n glir eto sut yn union y cafodd y manylion eu dal, ond ar rai systemau (nid pob un) o ddioddefwyr y gollyngiad cyfrinair, nodwyd ffeiliau gweithredadwy SSH ffug.
O ganlyniad, yr ymosodwyr mynediad i glwstwr y DU (Prifysgol Caeredin). , safle 334 yn y Top500 uwchgyfrifiaduron mwyaf. Yn dilyn treiddiadau tebyg oedd yn y clystyrau bwUniCluster 2.0 (Sefydliad Technoleg Karlsruhe, yr Almaen), ForHLR II (Sefydliad Technoleg Karlsruhe, yr Almaen), bwForCluster JUSTUS (Prifysgol Ulm, yr Almaen), bwForCluster BinAC (Prifysgol Tübingen, yr Almaen) a Hawk (Prifysgol Stuttgart, yr Almaen).
Gwybodaeth am ddigwyddiadau diogelwch clwstwr yn (CSCS), ( yn y 500 uchaf), (yr Almaen) a (, и lleoedd yn y 500 Uchaf). Yn ogystal, gan weithwyr nid yw gwybodaeth am gyfaddawd seilwaith y Ganolfan Cyfrifiadura Perfformiad Uchel yn Barcelona (Sbaen) wedi'i chadarnhau'n swyddogol eto.
newidiadau
, bod dwy ffeil weithredadwy maleisus wedi'u llwytho i lawr i'r gweinyddwyr dan fygythiad, y gosodwyd y faner gwraidd suid ar eu cyfer: “/etc/fonts/.fonts” a “/etc/fonts/.low”. Mae'r cyntaf yn cychwynnwr ar gyfer rhedeg gorchmynion cregyn gyda breintiau gwraidd, a'r ail yw glanhawr log ar gyfer cael gwared ar olion gweithgaredd ymosodwyr. Defnyddiwyd technegau amrywiol i guddio cydrannau maleisus, gan gynnwys gosod rootkit. , wedi'i lwytho fel modiwl ar gyfer y cnewyllyn Linux. Mewn un achos, dim ond gyda'r nos y dechreuwyd y broses fwyngloddio, er mwyn peidio â denu sylw.
Ar ôl ei hacio, gellid defnyddio'r gwesteiwr i gyflawni tasgau amrywiol, megis mwyngloddio Monero (XMR), rhedeg dirprwy (i gyfathrebu â gwesteiwyr mwyngloddio eraill a'r gweinydd sy'n cydlynu'r mwyngloddio), rhedeg dirprwy SOCKS sy'n seiliedig ar microSOCKS (i dderbyn allanol cysylltiadau trwy SSH) ac anfon ymlaen SSH (y prif bwynt treiddiad gan ddefnyddio cyfrif dan fygythiad lle cafodd cyfieithydd cyfeiriad ei ffurfweddu i'w anfon ymlaen i'r rhwydwaith mewnol). Wrth gysylltu â gwesteiwyr dan fygythiad, roedd ymosodwyr yn defnyddio gwesteiwyr gyda dirprwyon SOCKS ac yn nodweddiadol wedi'u cysylltu trwy Tor neu systemau eraill dan fygythiad.
Ffynhonnell: opennet.ru