Mitmes suures andmetöötlusklastris, mis asuvad superarvutuskeskustes Ühendkuningriigis, Saksamaal, Šveitsis ja Hispaanias, jäljed infrastruktuuri häkkimisest ja pahavara installimisest Monero (XMR) krüptovaluuta varjatud kaevandamiseks. Juhtumite üksikasjalik analüüs pole veel saadaval, kuid esialgsetel andmetel sattusid süsteemid ohtu teadlaste süsteemidest mandaatide varguse tagajärjel, kellel oli juurdepääs klastrites ülesannete täitmiseks (hiljuti pakuvad paljud klastrid juurdepääsu kolmandast osapoolest teadlased, kes uurivad SARS-CoV-2 koroonaviirust ja viivad läbi COVID-19 nakkusega seotud protsesside modelleerimist). Pärast ühel juhul klastrile juurdepääsu saamist kasutasid ründajad haavatavust Linuxi tuumas, et saada juurjuurdepääs ja installida juurkomplekt.
kaks intsidenti, mille puhul ründajad kasutasid Krakowi ülikooli (Poola), Shanghai Transpordiülikooli (Hiina) ja Hiina teadusvõrgustiku kasutajate mandaate. Mandaadid koguti rahvusvahelistes uurimisprogrammides osalejatelt ja neid kasutati SSH kaudu klastritega ühenduse loomiseks. Kuidas täpselt mandaadid jäädvustati, pole veel selge, kuid mõnes (mitte kõigis) paroolilekke ohvrite süsteemis tuvastati võltsitud SSH täitmisfailid.
Selle tulemusena ründajad juurdepääs Ühendkuningriigis asuvale (Edinburghi ülikooli) klastrile , mis on suurimate superarvutite Top334 edetabelis 500. kohal. Järgnesid sarnased tungimised klastrites bwUniCluster 2.0 (Karlsruhe Tehnoloogiainstituut, Saksamaa), ForHLR II (Karlsruhe Tehnoloogiainstituut, Saksamaa), bwForCluster JUSTUS (Ulmi Ülikool, Saksamaa), bwForCluster BinAC (Tübingeni Ülikool, Saksamaa) ja Hawk (Stuttgarti Ülikool, Saksamaa).
Teave klastri turvaintsidentide kohta (CSCS), ( top500 hulgas), (Saksamaa) ja (, и kohad Top500 hulgas). Lisaks töötajatelt teave Barcelona (Hispaania) kõrgjõudlusega arvutuskeskuse taristu kompromissi kohta ei ole veel ametlikult kinnitatud.
muudatusi
, et ohustatud serveritesse laaditi alla kaks pahatahtlikku käivitatavat faili, mille jaoks määrati suid juurlipp: “/etc/fonts/.fonts” ja “/etc/fonts/.low”. Esimene on alglaadur shellikäskude käivitamiseks juurõigustega ja teine logipuhastaja ründaja tegevuse jälgede eemaldamiseks. Pahatahtlike komponentide peitmiseks on kasutatud erinevaid tehnikaid, sealhulgas juurkomplekti installimist. , laaditi Linuxi kerneli moodulina. Ühel juhul alustati kaevandamist alles öösel, et mitte tähelepanu äratada.
Pärast häkkimist saab hosti kasutada mitmesuguste toimingute tegemiseks, näiteks Monero kaevandamiseks (XMR), puhverserveri käivitamiseks (suhtlemiseks teiste kaevandusmasinatega ja kaevandamist koordineeriva serveriga), microSOCKS-põhise SOCKS-i puhverserveri käivitamiseks (välise puhverserveri vastuvõtmiseks). ühendused SSH kaudu) ja SSH-edastus (esmane läbipääsupunkt, mis kasutab ohustatud kontot, mille aadressi tõlkija oli konfigureeritud sisevõrku edastamiseks). Ohustatud hostidega ühenduse loomisel kasutasid ründajad SOCKS-i puhverserveritega hoste ja ühendati tavaliselt Tori või muude ohustatud süsteemide kaudu.
Allikas: opennet.ru