En pluraj grandaj komputikgrupoj situantaj en superkomputikaj centroj en la UK, Germanio, Svislando kaj Hispanio, spuroj de infrastruktura hakado kaj instalado de malware por kaŝita minado de la kripta monero Monero (XMR). Detala analizo de la okazaĵoj ankoraŭ ne haveblas, sed laŭ antaŭaj datumoj, la sistemoj estis endanĝerigitaj kiel rezulto de la ŝtelo de akreditaĵoj de la sistemoj de esploristoj, kiuj havis aliron por ruli taskojn en aretoj (lastatempe, multaj aretoj disponigas aliron al triapartaj esploristoj studantaj la SARS-CoV-2 koronaviruson kaj farantaj procezmodeladon asociitan kun COVID-19-infekto). Post akiri aliron al la areto en unu el la kazoj, la atakantoj ekspluatis la vundeblecon en la Linukso-kerno por akiri radikan aliron kaj instali rootkit.
du okazaĵoj en kiuj atakantoj uzis akreditaĵojn kaptitajn de uzantoj de la Universitato de Krakovo (Pollando), Ŝanhaja Transporta Universitato (Ĉinio) kaj la Ĉina Scienca Reto. Akreditaĵoj estis kaptitaj de partoprenantoj en internaciaj esplorprogramoj kaj uzataj por konekti al aretoj per SSH. Kiel precize la akreditaĵoj estis kaptitaj ankoraŭ ne estas klara, sed en iuj sistemoj (ne ĉiuj) de la viktimoj de la pasvorta liko, falsaj SSH-efektiveblaj dosieroj estis detektitaj.
Kiel rezulto, la atakantoj aliro al la UK-bazita (Universitato de Edinburgo) areto , vicigis 334-a en la Top500 plej grandaj superkomputiloj. Sekvaj similaj penetroj estis en la aretoj bwUniCluster 2.0 (Karlsruhe-Instituto de Teknologio, Germanio), ForHLR II (Karlsruhe-Instituto de Teknologio, Germanio), bwForCluster JUSTUS (Ulma Universitato, Germanio), bwForCluster BinAC (Universitato de Tübingen, Germanio) kaj Hawk (Universitato de Stutgarto, Germanio).
Informoj pri cluster-sekurecaj okazaĵoj en (CSCS), ( en la supraj 500), (Germanio) kaj (, и lokoj en la Top500). Krome, de dungitoj informoj pri la kompromiso de la infrastrukturo de la High Performance Computing Center en Barcelono (Hispanio) ankoraŭ ne estas oficiale konfirmitaj.
ŝanĝoj
, ke du malicaj ruleblaj dosieroj estis elŝutitaj al la kompromititaj serviloj, por kiuj la suid radika flago estis agordita: "/etc/fonts/.fonts" kaj "/etc/fonts/.low". La unua estas ekŝargilo por ruli ŝelkomandojn kun radikprivilegioj, kaj la dua estas ŝtippurigilo por forigi spurojn de atakanta agado. Diversaj teknikoj estis uzataj por kaŝi malicajn komponantojn, inkluzive de instalo de rootkit. , ŝarĝita kiel modulo por la Linukso-kerno. En unu kazo, la minindustria procezo estis komencita nur nokte, por ne altiri atenton.
Fojo hakita, la gastiganto povus esti uzata por plenumi diversajn taskojn, kiel minado de Monero (XMR), kuri prokurilon (por komuniki kun aliaj minindustriaj gastigantoj kaj la servilo kunordiganta la minadon), kurante mikroSOCKS-bazitan SOCKS-prokurilon (por akcepti eksteran). konektoj per SSH) kaj SSH-sendo (la primara punkto de penetro uzanta kompromititan konton sur kiu adrestradukisto estis agordita por plusendado al la interna reto). Konektante al kompromititaj gastigantoj, atakantoj uzis gastigantojn kun SOCKS-prokuriloj kaj kutime konektitaj per Tor aŭ aliaj kompromititaj sistemoj.
fonto: opennet.ru