Useissa suurissa laskentaklustereissa, jotka sijaitsevat superlaskentakeskuksissa Isossa-Britanniassa, Saksassa, Sveitsissä ja Espanjassa, jäljet infrastruktuurin hakkeroinnista ja haittaohjelmien asentamisesta salausvaluutan Monero (XMR) louhintaan. Yksityiskohtaista analyysiä tapahtumista ei ole vielä saatavilla, mutta alustavien tietojen mukaan järjestelmät vaarantuivat, koska tutkijoiden järjestelmistä varastettiin tunnistetiedot, joilla oli mahdollisuus suorittaa tehtäviä klustereissa (viime aikoina monet klusterit tarjoavat pääsyn kolmannen osapuolen tutkijat, jotka tutkivat SARS-CoV-2-koronavirusta ja suorittavat COVID-19-infektioon liittyvää prosessimallinnusta). Saatuaan pääsyn klusteriin yhdessä tapauksessa hyökkääjät käyttivät haavoittuvuutta hyväkseen Linux-ytimessä päästäksesi pääkäyttäjään ja asentaaksesi rootkitin.
kaksi tapausta, joissa hyökkääjät käyttivät Krakovan yliopiston (Puola), Shanghain liikenneyliopiston (Kiina) ja Kiinan tiedeverkoston käyttäjiltä saatuja tunnistetietoja. Valtuustiedot kerättiin kansainvälisten tutkimusohjelmien osallistujilta ja niitä käytettiin klustereihin yhdistämisessä SSH:n kautta. Kuinka tarkalleen tunnistetiedot kaapattiin, ei ole vielä selvää, mutta joissakin (ei kaikissa) salasanavuodon uhrien järjestelmissä havaittiin väärennettyjä SSH-suoritustiedostoja.
Tämän seurauksena hyökkääjät pääsy Yhdistyneessä kuningaskunnassa sijaitsevaan (Edinburghin yliopiston) klusteriin , sijoittui 334. sijalle Top500 suurimman supertietokoneen joukossa. Seuraavat samanlaiset tunkeutumiset olivat klustereissa bwUniCluster 2.0 (Karlsruhen teknologiainstituutti, Saksa), ForHLR II (Karlsruhen teknillinen instituutti, Saksa), bwForCluster JUSTUS (Ulmin yliopisto, Saksa), bwForCluster BinAC (Tübingenin yliopisto, Saksa) ja Hawk (Stuttgartin yliopisto, Saksa).
Tietoja klusterin tietoturvahäiriöistä sisään (CSCS), ( top500:ssa) (Saksa) ja (, и sijat Top500:ssa). Lisäksi työntekijöiltä Tietoa Barcelonan (Espanja) High Performance Computing Centerin infrastruktuurin kompromissista ei ole vielä vahvistettu virallisesti.
muutoksia
, että kaksi haitallista suoritettavaa tiedostoa ladattiin vaarantuneille palvelimille, joille asetettiin suid-juurilippu: "/etc/fonts/.fonts" ja "/etc/fonts/.low". Ensimmäinen on käynnistyslatain komentotulkkikomentojen suorittamiseen pääkäyttäjän oikeuksin, ja toinen on lokinpuhdistusohjelma hyökkääjän toiminnan jälkien poistamiseen. Haitallisten komponenttien piilottamiseen on käytetty erilaisia tekniikoita, mukaan lukien rootkitin asentaminen. , ladattu Linux-ytimen moduulina. Yhdessä tapauksessa kaivosprosessi aloitettiin vasta yöllä, jotta se ei herätä huomiota.
Kun isäntä on hakkeroitu, sitä voidaan käyttää useiden eri tehtävien suorittamiseen, kuten Moneron louhintaan (XMR), välityspalvelimen käyttämiseen (kommunikoidakseen muiden kaivospalvelimien ja louhintaa koordinoivan palvelimen kanssa), microSOCKS-pohjaisen SOCKS-välityspalvelimen käyttämiseen (ulkoisen palvelimen hyväksymiseen). yhteydet SSH:n kautta) ja SSH-edelleenlähetys (ensisijainen tunkeutumispiste, jossa käytetään vaarantunutta tiliä, johon on määritetty osoitteenkääntäjä edelleenlähetystä varten sisäiseen verkkoon). Yhdistetessään vaarantuneisiin isäntiin hyökkääjät käyttivät isäntiä SOCKS-välityspalvelimilla ja tyypillisesti yhteyden kautta Torin tai muiden vaarantuneiden järjestelmien kautta.
Lähde: opennet.ru