Erresuma Batuko, Alemaniako, Suitza eta Espainiako superkonputazio zentroetan kokatutako hainbat konputazio-kluster handitan, Monero (XMR) kriptografia-moneta ezkutuko meatzaritzarako azpiegituren hackearen aztarnak eta malwarea instalatzeko. Gertaeren azterketa zehatza oraindik ez dago eskuragarri, baina aurretiazko datuen arabera, sistemak arriskuan jarri ziren klusterretan zereginak exekutatzeko sarbidea zuten ikertzaileen sistemen kredentzialak lapurtzearen ondorioz (azkenaldian, kluster askok sarbidea ematen dute. SARS-CoV-2 koronavirusa aztertzen eta COVID-19 infekzioarekin lotutako prozesuen modelizazioa egiten duten hirugarren ikertzaileak). Kasuren batean klustererako sarbidea lortu ondoren, erasotzaileek ahultasuna ustiatu zuten Linux nukleoan root sarbidea lortzeko eta rootkit bat instalatzeko.
Erasotzaileek Krakoviako (Polonia) Unibertsitateko (Polonia), Shanghaiko Garraio Unibertsitateko (Txina) eta Txinako Sare Zientifikoko erabiltzaileek hartutako kredentzialak erabili zituzten bi gertakari. Nazioarteko ikerketa-programetako parte-hartzaileen kredentzialak hartu zituzten eta SSH bidez klusterrak konektatzeko erabili ziren. Kredentzialak nola atzeman ziren zehatz-mehatz oraindik ez dago argi, baina pasahitzaren ihesaren biktimen sistema batzuetan (ez guztietan) SSH fitxategi exekutagarriak faltsutuak detektatu ziren.
Ondorioz, erasotzaileak Erresuma Batuko (Edinburgoko Unibertsitatea) klustererako sarbidea , 334. postuan sailkatu zen Top500 superordenagailu handienetan. Antzeko penetrazioak izan ziren bwUniCluster 2.0 (Karlsruhe Institute of Technology, Alemania), ForHLR II (Karlsruhe Institute of Technology, Alemania), bwForCluster JUSTUS (Ulm Unibertsitatea, Alemania), bwForCluster BinAC (TΓΌbingen Unibertsitatea, Alemania) eta Hawk (Stuttgart Unibertsitatea, Alemania). Alemania).
Klusterren segurtasun-gorabeherei buruzko informazioa (CSCS), ( goiko 500ean), (Alemania) eta (, ΠΈ Top500eko postuetan). Horrez gain, langileengandik Bartzelonako (Espainia) Errendimendu Handiko Konputazio Zentroaren azpiegituraren konpromisoari buruzko informazioa ez da oraindik ofizialki baieztatu.
aldaketak
, arriskutsuak diren zerbitzarietara bi fitxategi exekutagarri gaizto deskargatu zirela, eta horretarako suid root bandera ezarri zen: β/etc/fonts/.fontsβ eta β/etc/fonts/.lowβ. Lehenengoa root pribilegiodun shell komandoak exekutatzeko abiarazle bat da, eta bigarrena erasotzaileen jardueraren arrastoak kentzeko log garbitzailea da. Osagai gaiztoak ezkutatzeko hainbat teknika erabili dira, besteak beste, rootkit bat instalatzea. , Linux nukleorako modulu gisa kargatuta. Kasu batean, meatzaritza prozesua gauez bakarrik hasi zen, arreta ez erakartzeko.
Hackeatu ondoren, ostalaria hainbat zeregin egiteko erabil liteke, hala nola, Monero meatzaritza (XMR), proxy bat exekutatzen (beste meatzaritza ostalari batzuekin eta meatzaritza koordinatzen duen zerbitzariarekin komunikatzeko), microSOCKS-en oinarritutako SOCKS proxy bat exekutatu (kanpokoa onartzeko). konexioak SSH bidez) eta SSH birbidaltzea (sartze-puntu nagusia barne sarera birbidaltzeko helbide-itzultzaile bat konfiguratu zen konprometitutako kontu bat erabiliz). Ostalari arriskutsuetara konektatzean, erasotzaileek SOCKS proxydun ostalariak erabiltzen zituzten eta normalean Tor edo arriskuan dauden beste sistema batzuen bidez konektatzen ziren.
Iturria: opennet.ru