در چندین خوشه محاسباتی بزرگ واقع در مراکز ابررایانه در بریتانیا، آلمان، سوئیس و اسپانیا، آثاری از هک زیرساخت و نصب بدافزار برای استخراج مخفی ارز دیجیتال مونرو (XMR). تجزیه و تحلیل دقیق از حوادث هنوز در دسترس نیست، اما بر اساس داده های اولیه، سیستم ها در نتیجه سرقت اعتبار از سیستم های محققانی که به اجرای وظایف در خوشه ها دسترسی داشتند (اخیرا، بسیاری از خوشه ها دسترسی به محققان شخص ثالث در حال مطالعه ویروس SARS-CoV-2 و انجام مدلسازی فرآیند مرتبط با عفونت COVID-19). پس از دسترسی به خوشه در یکی از موارد، مهاجمان از این آسیب پذیری سوء استفاده کردند در هسته لینوکس برای دسترسی روت و نصب روت کیت.
دو حادثه که در آن مهاجمان از اعتبارنامههای کاربران دانشگاه کراکوف (لهستان)، دانشگاه حمل و نقل شانگهای (چین) و شبکه علمی چین استفاده کردند. اعتبار از شرکت کنندگان در برنامه های تحقیقاتی بین المللی گرفته شد و برای اتصال به خوشه ها از طریق SSH استفاده شد. هنوز مشخص نیست که دقیقاً چگونه اعتبارنامه ها ضبط شده است، اما در برخی از سیستم ها (نه همه) قربانیان نشت رمز عبور، فایل های اجرایی SSH جعلی شناسایی شدند.
در نتیجه، مهاجمان دسترسی به خوشه مستقر در بریتانیا (دانشگاه ادینبورگ). ، در رتبه 334 در Top500 بزرگترین ابر رایانه ها قرار گرفت. به دنبال نفوذ مشابه بودند در خوشههای bwUniCluster 2.0 (موسسه فناوری کارلسروهه، آلمان)، ForHLR II (موسسه فناوری کارلسروهه، آلمان)، bwForCluster JUSTUS (دانشگاه اولم، آلمان)، bwForCluster BinAC (دانشگاه توبینگن، آلمان) و هاوک (دانشگاه اشتوتگارت، آلمان).
اطلاعات مربوط به حوادث امنیتی خوشه ای در (CSCS)، ( در بالای 500)، (آلمان) و (, и مکان در 500 برتر). علاوه بر این، از کارکنان اطلاعات در مورد به خطر افتادن زیرساخت مرکز محاسبات با عملکرد بالا در بارسلونا (اسپانیا) هنوز به طور رسمی تایید نشده است.
تغییر می کند
، که دو فایل اجرایی مخرب در سرورهای در معرض خطر دانلود شدند، که برای آنها پرچم ریشه suid تنظیم شده بود: "/etc/fonts/.fonts" و "/etc/fonts/.low". اولی یک بوت لودر برای اجرای دستورات پوسته با امتیازات ریشه است و دومی یک پاک کننده گزارش برای حذف آثار فعالیت مهاجم است. تکنیک های مختلفی برای پنهان کردن اجزای مخرب استفاده شده است، از جمله نصب روت کیت. ، به عنوان یک ماژول برای هسته لینوکس بارگذاری شده است. در یک مورد، فرآیند استخراج فقط در شب شروع شد تا توجه ها را جلب نکند.
پس از هک شدن، میزبان میتواند برای انجام وظایف مختلفی مانند استخراج Monero (XMR)، اجرای یک پروکسی (برای برقراری ارتباط با سایر میزبانهای ماینینگ و سرور هماهنگکننده استخراج)، اجرای پروکسی SOCKS مبتنی بر microSOCKS (برای پذیرش خارجی) مورد استفاده قرار گیرد. اتصالات از طریق SSH) و ارسال SSH (نقطه اصلی نفوذ با استفاده از یک حساب کاربری در معرض خطر که در آن یک مترجم آدرس برای ارسال به شبکه داخلی پیکربندی شده است). هنگام اتصال به هاست های در معرض خطر، مهاجمان از هاست هایی با پراکسی های SOCKS استفاده می کردند و معمولاً از طریق Tor یا سایر سیستم های در معرض خطر متصل می شدند.
منبع: opennet.ru