Σε πολλά μεγάλα συμπλέγματα υπολογιστών που βρίσκονται σε κέντρα υπερυπολογιστών στο Ηνωμένο Βασίλειο, τη Γερμανία, την Ελβετία και την Ισπανία, ίχνη πειρατείας υποδομής και εγκατάσταση κακόβουλου λογισμικού για κρυφή εξόρυξη του κρυπτονομίσματος Monero (XMR). Λεπτομερής ανάλυση των περιστατικών δεν είναι ακόμη διαθέσιμη, αλλά σύμφωνα με προκαταρκτικά δεδομένα, τα συστήματα παραβιάστηκαν ως αποτέλεσμα της κλοπής διαπιστευτηρίων από τα συστήματα ερευνητών που είχαν πρόσβαση στην εκτέλεση εργασιών σε συμπλέγματα (πρόσφατα, πολλά cluster παρέχουν πρόσβαση σε ερευνητές τρίτων που μελετούν τον κορωνοϊό SARS-CoV-2 και διεξάγουν μοντελοποίηση διαδικασιών που σχετίζονται με τη μόλυνση από COVID-19). Αφού απέκτησαν πρόσβαση στο σύμπλεγμα σε μία από τις περιπτώσεις, οι εισβολείς εκμεταλλεύτηκαν την ευπάθεια στον πυρήνα του Linux για να αποκτήσετε πρόσβαση root και να εγκαταστήσετε ένα rootkit.
δύο περιστατικά στα οποία οι επιτιθέμενοι χρησιμοποίησαν διαπιστευτήρια από χρήστες από το Πανεπιστήμιο της Κρακοβίας (Πολωνία), το Πανεπιστήμιο Μεταφορών της Σαγκάης (Κίνα) και το Κινεζικό Επιστημονικό Δίκτυο. Τα διαπιστευτήρια λήφθηκαν από συμμετέχοντες σε διεθνή ερευνητικά προγράμματα και χρησιμοποιήθηκαν για σύνδεση σε ομάδες μέσω SSH. Το πώς ακριβώς καταγράφηκαν τα διαπιστευτήρια δεν είναι ακόμη σαφές, αλλά σε ορισμένα συστήματα (όχι όλα) των θυμάτων της διαρροής κωδικού πρόσβασης, εντοπίστηκαν πλαστά εκτελέσιμα αρχεία SSH.
Ως αποτέλεσμα, οι επιτιθέμενοι πρόσβαση στο σύμπλεγμα που εδρεύει στο Ηνωμένο Βασίλειο (Πανεπιστήμιο του Εδιμβούργου). , κατέλαβε την 334η θέση στους Top500 μεγαλύτερους υπερυπολογιστές. Ακολουθούν παρόμοιες διεισδύσεις στα συμπλέγματα bwUniCluster 2.0 (Ινστιτούτο Τεχνολογίας Καρλσρούης, Γερμανία), ForHLR II (Τεχνολογικό Ινστιτούτο Καρλσρούης, Γερμανία), bwForCluster JUSTUS (Πανεπιστήμιο Ulm, Γερμανία), bwForCluster BinAC (Πανεπιστήμιο Tübingen, Γερμανία) και Hawk (Πανεπιστήμιο Στουτγάρδης, Γερμανία).
Πληροφορίες σχετικά με συμβάντα ασφαλείας συμπλέγματος σε (CSCS), ( στο top500), (Γερμανία) και (, и θέσεις στο Top500). Επιπλέον, από τους εργαζόμενους πληροφορίες σχετικά με την παραβίαση της υποδομής του Υπολογιστικού Κέντρου Υψηλής Απόδοσης στη Βαρκελώνη (Ισπανία) δεν έχουν ακόμη επιβεβαιωθεί επίσημα.
αλλαγές
, ότι δύο κακόβουλα εκτελέσιμα αρχεία κατέβηκαν στους παραβιασμένους διακομιστές, για τους οποίους ορίστηκε η σημαία ρίζας suid: "/etc/fonts/.fonts" και "/etc/fonts/.low". Ο πρώτος είναι ένας bootloader για την εκτέλεση εντολών φλοιού με δικαιώματα root και ο δεύτερος είναι ένα πρόγραμμα καθαρισμού αρχείων καταγραφής για την αφαίρεση ιχνών δραστηριότητας εισβολέα. Έχουν χρησιμοποιηθεί διάφορες τεχνικές για την απόκρυψη κακόβουλων στοιχείων, συμπεριλαμβανομένης της εγκατάστασης ενός rootkit. , φορτώθηκε ως λειτουργική μονάδα για τον πυρήνα του Linux. Σε μια περίπτωση, η διαδικασία εξόρυξης ξεκίνησε μόνο τη νύχτα, για να μην τραβήξει την προσοχή.
Μόλις χακαριστεί, ο κεντρικός υπολογιστής θα μπορούσε να χρησιμοποιηθεί για την εκτέλεση διαφόρων εργασιών, όπως εξόρυξη Monero (XMR), εκτέλεση διακομιστή μεσολάβησης (για επικοινωνία με άλλους κεντρικούς υπολογιστές εξόρυξης και διακομιστή που συντονίζει την εξόρυξη), εκτέλεση διακομιστή μεσολάβησης SOCKS που βασίζεται σε microSOCKS (για αποδοχή εξωτερικού συνδέσεις μέσω SSH) και προώθηση SSH (το κύριο σημείο διείσδυσης χρησιμοποιώντας έναν παραβιασμένο λογαριασμό στον οποίο διαμορφώθηκε ένας μεταφραστής διευθύνσεων για προώθηση στο εσωτερικό δίκτυο). Κατά τη σύνδεση σε παραβιασμένους κεντρικούς υπολογιστές, οι εισβολείς χρησιμοποίησαν κεντρικούς υπολογιστές με διακομιστές μεσολάβησης SOCKS και συνήθως συνδέονται μέσω Tor ή άλλων παραβιασμένων συστημάτων.
Πηγή: opennet.ru