In mehreren großen Rechenclustern in Supercomputing-Zentren im Vereinigten Königreich, Deutschland, der Schweiz und Spanien Spuren von Infrastruktur-Hacking und der Installation von Malware zum versteckten Mining der Kryptowährung Monero (XMR). Eine detaillierte Analyse der Vorfälle liegt noch nicht vor, aber vorläufigen Daten zufolge wurden die Systeme durch den Diebstahl von Anmeldeinformationen aus den Systemen von Forschern kompromittiert, die Zugriff auf die Ausführung von Aufgaben in Clustern hatten (in jüngster Zeit bieten viele Cluster Zugriff darauf). Drittforscher, die das SARS-CoV-2-Coronavirus untersuchen und Prozessmodellierungen im Zusammenhang mit einer COVID-19-Infektion durchführen). Nachdem sich die Angreifer in einem Fall Zugang zum Cluster verschafft hatten, nutzten sie die Schwachstelle aus im Linux-Kernel, um Root-Zugriff zu erhalten und ein Rootkit zu installieren.
zwei Vorfälle, bei denen Angreifer Anmeldeinformationen nutzten, die sie von Benutzern der Universität Krakau (Polen), der Shanghai Transport University (China) und des Chinese Science Network erbeutet hatten. Die Anmeldeinformationen wurden von Teilnehmern an internationalen Forschungsprogrammen erfasst und für die Verbindung zu Clustern über SSH verwendet. Wie genau die Anmeldeinformationen erfasst wurden, ist noch nicht klar, aber auf einigen Systemen (nicht allen) der Opfer des Passwortlecks wurden gefälschte ausführbare SSH-Dateien identifiziert.
Infolgedessen die Angreifer Zugang zum in Großbritannien ansässigen Cluster (University of Edinburgh). , auf Platz 334 der Top 500 der größten Supercomputer. Es folgten ähnliche Durchdringungen in den Clustern bwUniCluster 2.0 (Karlsruher Institut für Technologie, Deutschland), ForHLR II (Karlsruher Institut für Technologie, Deutschland), bwForCluster JUSTUS (Universität Ulm, Deutschland), bwForCluster BinAC (Universität Tübingen, Deutschland) und Hawk (Universität Stuttgart, Deuschland).
Informationen zu Cluster-Sicherheitsvorfällen in (CSCS), ( in top500), (Deutschland) und (, и Plätze in den Top500). Darüber hinaus von Mitarbeitern Informationen über die Kompromittierung der Infrastruktur des Höchstleistungsrechenzentrums in Barcelona (Spanien) sind noch nicht offiziell bestätigt.
Änderungen
, dass zwei schädliche ausführbare Dateien auf die kompromittierten Server heruntergeladen wurden, für die das Suid-Root-Flag gesetzt war: „/etc/fonts/.fonts“ und „/etc/fonts/.low“. Der erste ist ein Bootloader zum Ausführen von Shell-Befehlen mit Root-Rechten und der zweite ist ein Log-Cleaner zum Entfernen von Spuren von Angreiferaktivitäten. Um bösartige Komponenten zu verbergen, wurden verschiedene Techniken eingesetzt, darunter die Installation eines Rootkits. , geladen als Modul für den Linux-Kernel. In einem Fall wurde mit dem Abbau erst nachts begonnen, um nicht aufzufallen.
Sobald der Host gehackt wurde, könnte er zur Ausführung verschiedener Aufgaben verwendet werden, wie zum Beispiel zum Mining von Monero (XMR), zum Ausführen eines Proxys (zur Kommunikation mit anderen Mining-Hosts und dem Server, der das Mining koordiniert), zum Ausführen eines microSOCKS-basierten SOCKS-Proxys (zur Annahme externer Verbindungen über SSH) und SSH-Weiterleitung (der primäre Eindringpunkt über ein kompromittiertes Konto, auf dem ein Adressübersetzer für die Weiterleitung an das interne Netzwerk konfiguriert wurde). Beim Herstellen einer Verbindung zu kompromittierten Hosts nutzten die Angreifer Hosts mit SOCKS-Proxys und stellten die Verbindung typischerweise über Tor oder andere kompromittierte Systeme her.
Source: opennet.ru