I flere store computerklynger placeret i supercomputingcentre i Storbritannien, Tyskland, Schweiz og Spanien, spor af hacking af infrastruktur og installation af malware til skjult minedrift af Monero (XMR) kryptovaluta. En detaljeret analyse af hændelserne er endnu ikke tilgængelig, men ifølge foreløbige data blev systemerne kompromitteret som følge af tyveri af legitimationsoplysninger fra systemer for forskere, der havde adgang til at køre opgaver i klynger (på det seneste giver mange klynger adgang til tredjepartsforskere, der studerer SARS-CoV-2 coronavirus og udfører procesmodellering forbundet med COVID-19-infektion). Efter at have fået adgang til klyngen i et af tilfældene, udnyttede angriberne sårbarheden i Linux-kernen for at få root-adgang og installere et rootkit.
to hændelser, hvor angriberne brugte legitimationsoplysninger fra brugere fra universitetet i Krakow (Polen), Shanghai Transport University (Kina) og det kinesiske videnskabelige netværk. Legitimationsoplysninger blev fanget fra deltagere i internationale forskningsprogrammer og brugt til at oprette forbindelse til klynger via SSH. Det er endnu ikke klart, hvordan legitimationsoplysningerne blev fanget, men på nogle systemer (ikke alle) af ofrene for adgangskodelækket, blev forfalskede SSH-eksekverbare filer identificeret.
Som et resultat, angriberne adgang til den UK-baserede (University of Edinburgh) klynge , rangeret 334. i Top500 største supercomputere. Efter lignende penetrationer var i klyngerne bwUniCluster 2.0 (Karlsruhe Institute of Technology, Tyskland), ForHLR II (Karlsruhe Institute of Technology, Tyskland), bwForCluster JUSTUS (Ulm University, Tyskland), bwForCluster BinAC (University of Tübingen, Tyskland) og Hawk (University of Stuttgart, Tyskland).
Oplysninger om klyngesikkerhedshændelser i (CSCS), ( i top 500), (Tyskland) og (, и pladser i Top 500). Desuden fra medarbejdere oplysninger om kompromitteringen af infrastrukturen i High Performance Computing Center i Barcelona (Spanien) er endnu ikke blevet officielt bekræftet.
ændringer
, at to ondsindede eksekverbare filer blev downloadet til de kompromitterede servere, for hvilke suid root-flaget var sat: "/etc/fonts/.fonts" og "/etc/fonts/.low". Den første er en bootloader til at køre shell-kommandoer med root-rettigheder, og den anden er en log-oprydder til at fjerne spor af angriberaktivitet. Forskellige teknikker er blevet brugt til at skjule ondsindede komponenter, herunder installation af et rootkit. , indlæst som et modul til Linux-kernen. I et tilfælde blev minedriften kun startet om natten for ikke at tiltrække opmærksomhed.
Når den først er blevet hacket, kunne værten bruges til at udføre forskellige opgaver, såsom minedrift af Monero (XMR), køre en proxy (for at kommunikere med andre mineværter og serveren, der koordinerer minedriften), køre en microSOCKS-baseret SOCKS proxy (for at acceptere ekstern forbindelser via SSH) og SSH-videresendelse (det primære indtrængningspunkt ved hjælp af en kompromitteret konto, hvorpå en adresseoversætter var konfigureret til videresendelse til det interne netværk). Ved forbindelse til kompromitterede værter brugte angribere værter med SOCKS-proxyer og forbindes typisk via Tor eller andre kompromitterede systemer.
Kilde: opennet.ru