En varios grandes grupos informáticos ubicados en centros de supercomputación del Reino Unido, Alemania, Suiza y España, rastros de piratería de infraestructura e instalación de malware para la minería oculta de la criptomoneda Monero (XMR). Aún no se dispone de un análisis detallado de los incidentes, pero según datos preliminares, los sistemas se vieron comprometidos como resultado del robo de credenciales de los sistemas de los investigadores que tenían acceso para ejecutar tareas en clústeres (recientemente, muchos clústeres brindan acceso a investigadores externos que estudian el coronavirus SARS-CoV-2 y realizan modelos de procesos asociados con la infección por COVID-19). Después de obtener acceso al clúster en uno de los casos, los atacantes aprovecharon la vulnerabilidad. en el kernel de Linux para obtener acceso de root e instalar un rootkit.
dos incidentes en los que los atacantes utilizaron credenciales capturadas de usuarios de la Universidad de Cracovia (Polonia), la Universidad de Transporte de Shanghai (China) y la Red Científica China. Se capturaron credenciales de los participantes en programas de investigación internacionales y se utilizaron para conectarse a grupos a través de SSH. Aún no está claro cómo se capturaron exactamente las credenciales, pero en algunos sistemas (no en todos) de las víctimas de la filtración de contraseñas, se identificaron archivos ejecutables SSH falsificados.
Como resultado, los atacantes acceso al clúster con sede en el Reino Unido (Universidad de Edimburgo) , ocupa el puesto 334 entre las 500 supercomputadoras más grandes del Top XNUMX. Tras penetraciones similares se produjeron en los clusters bwUniCluster 2.0 (Instituto Tecnológico de Karlsruhe, Alemania), ForHLR II (Instituto Tecnológico de Karlsruhe, Alemania), bwForCluster JUSTUS (Universidad de Ulm, Alemania), bwForCluster BinAC (Universidad de Tübingen, Alemania) y Hawk (Universidad de Stuttgart, Alemania).
Información sobre incidentes de seguridad del cluster en (CSSC), ( en top500), (Alemania) y (, и lugares en el Top500). Además, de los empleados Aún no se ha confirmado oficialmente información sobre el compromiso de la infraestructura del Centro de Computación de Alto Rendimiento de Barcelona (España).
cambios
, que se descargaron dos archivos ejecutables maliciosos en los servidores comprometidos, para los cuales se configuró el indicador raíz suid: “/etc/fonts/.fonts” y “/etc/fonts/.low”. El primero es un gestor de arranque para ejecutar comandos de shell con privilegios de root y el segundo es un limpiador de registros para eliminar rastros de actividad de atacantes. Se han utilizado varias técnicas para ocultar componentes maliciosos, incluida la instalación de un rootkit. , cargado como módulo para el kernel de Linux. En un caso, el proceso de extracción se inició sólo por la noche, para no llamar la atención.
Una vez pirateado, el host podría usarse para realizar diversas tareas, como extraer Monero (XMR), ejecutar un proxy (para comunicarse con otros hosts de minería y el servidor que coordina la minería), ejecutar un proxy SOCKS basado en microSOCKS (para aceptar archivos externos). conexiones a través de SSH) y reenvío SSH (el principal punto de penetración utilizando una cuenta comprometida en la que se configuró un traductor de direcciones para reenviar a la red interna). Al conectarse a hosts comprometidos, los atacantes utilizaban hosts con proxies SOCKS y normalmente se conectaban a través de Tor u otros sistemas comprometidos.
Fuente: opennet.ru