I flere store computerklynger placeret i supercomputercentre i Storbritannien, Tyskland, Schweiz og Spanien, spor af infrastruktur hacks og installation af malware til skjult minedrift af Monero (XMR) kryptovaluta. En detaljeret analyse af hændelserne er endnu ikke tilgængelig, men ifølge foreløbige data blev systemerne kompromitteret som følge af tyveri af legitimationsoplysninger fra systemerne for forskere, der havde adgang til at køre opgaver i klynger (på det seneste har mange klynger givet adgang til tredjepartsforskere, der studerer SARS-CoV-2-coronavirus og modelleringsprocesser forbundet med COVID-19-infektion). Efter at have fået adgang til klyngen, udnyttede angriberne i et tilfælde sårbarheden i kernen Linux для получения root-доступа и установки руткита.
to hændelser, hvor angriberne brugte legitimationsoplysninger fra brugere på Krakow Universitet (Polen), Shanghai Jiaotong Universitet (Kina) og China Science Network. Legitimationsoplysninger blev fanget fra deltagere i internationale forskningsprogrammer og brugt til at oprette forbindelse til klynger via SSH. Det er endnu ikke klart, hvordan legitimationsoplysningerne blev fanget, men nogle (ikke alle) systemer med ofre for adgangskodelækage viste sig at have erstattet SSH-eksekverbare filer.
Som et resultat, angriberne adgang til den UK-baserede (University of Edinburgh) klynge , som er nummer 334 i Top500 største supercomputere. Lignende penetrationer fulgte i klyngerne bwUniCluster 2.0 (Karlsruhe Institute of Technology, Tyskland), ForHLR II (Karlsruhe Institute of Technology, Tyskland), bwForCluster JUSTUS (Ulm University, Tyskland), bwForCluster BinAC (University of Tübingen, Tyskland) og Hawk (University of Stuttgart, Tyskland).
Senere blev oplysninger om sikkerhedshændelser med klynger i bekræftet (CSCS), ( i top 500), (Tyskland) og (, и pladser i Top 500). Desuden fra medarbejdere Der er stadig ubekræftede oplysninger om kompromitteringen af infrastrukturen i High Performance Computing Center i Barcelona (Spanien).
ændringer
at to ondsindede eksekverbare filer med suid root-flag-sættet blev uploadet til de kompromitterede servere: "/etc/fonts/.fonts" og "/etc/fonts/.low". Den første er en bootloader til at køre shell-kommandoer med root-rettigheder, og den anden er en log-oprydder til at fjerne spor af angriberaktivitet. Forskellige teknikker blev brugt til at skjule de ondsindede komponenter, herunder installation af et rootkit , загружаемого в форме модуля для ядра Linux. В одном случае процесс майнинга запускался только в ночное время, чтобы не привлекать внимание.
Når først kompromitteret, kunne værten bruges til at udføre en række opgaver, såsom mining af Monero (XMR) kryptovalutaen, kørsel af en proxy (for at kommunikere med andre værter, der kører minedriften, og serveren, der koordinerer minedriften), kørsel af en microSOCKS-baseret SOCKS-proxy (til at acceptere eksterne SSH-forbindelser) og SSH-videresendelse (det primære kompromitterede indgangsnetværk, der konfigurerer det interne indgangsnetværk, der er konfigureret til en intern adresse). Ved forbindelse til hackede noder brugte angriberne værter med SOCKS-proxyer og som regel forbundet via Tor eller andre hackede systemer.
Kilde: opennet.ru
