Dans plusieurs grands clusters informatiques situés dans des centres de calcul intensif au Royaume-Uni, en Allemagne, en Suisse et en Espagne, traces de piratage d'infrastructure et installation de logiciels malveillants pour l'exploitation cachée de la crypto-monnaie Monero (XMR). Une analyse détaillée des incidents n'est pas encore disponible, mais selon des données préliminaires, les systèmes ont été compromis à la suite du vol d'informations d'identification des systèmes des chercheurs qui avaient accès pour exécuter des tâches dans les clusters (récemment, de nombreux clusters donnent accès à chercheurs tiers étudiant le coronavirus SARS-CoV-2 et effectuant une modélisation des processus associés à l’infection au COVID-19). Après avoir accédé au cluster dans l'un des cas, les attaquants ont exploité la vulnérabilité dans le noyau Linux pour obtenir un accès root et installer un rootkit.
deux incidents au cours desquels des attaquants ont utilisé des informations d'identification obtenues auprès d'utilisateurs de l'Université de Cracovie (Pologne), de l'Université des transports de Shanghai (Chine) et du Chinese Science Network. Les informations d'identification ont été obtenues auprès des participants à des programmes de recherche internationaux et utilisées pour se connecter aux clusters via SSH. La manière exacte dont les informations d'identification ont été capturées n'est pas encore claire, mais sur certains systèmes (pas tous) des victimes de la fuite de mot de passe, des fichiers exécutables SSH falsifiés ont été identifiés.
En conséquence, les attaquants accès au cluster basé au Royaume-Uni (Université d'Édimbourg) , classé 334e dans le Top500 des plus grands supercalculateurs. Suite à des pénétrations similaires ont été dans les clusters bwUniCluster 2.0 (Institut de technologie de Karlsruhe, Allemagne), ForHLR II (Institut de technologie de Karlsruhe, Allemagne), bwForCluster JUSTUS (Université d'Ulm, Allemagne), bwForCluster BinAC (Université de Tübingen, Allemagne) et Hawk (Université de Stuttgart, Allemagne).
Informations sur les incidents de sécurité du cluster dans (CSCS), ( dans le top500), (Allemagne) et (, и places dans le Top500). De plus, des employés les informations sur la compromission de l'infrastructure du Centre de Calcul Haute Performance de Barcelone (Espagne) n'ont pas encore été officiellement confirmées.
changements
, que deux fichiers exécutables malveillants ont été téléchargés sur les serveurs compromis, pour lesquels l'indicateur suid root a été défini : « /etc/fonts/.fonts » et « /etc/fonts/.low ». Le premier est un chargeur de démarrage permettant d'exécuter des commandes shell avec les privilèges root, et le second est un nettoyeur de journaux permettant de supprimer les traces de l'activité des attaquants. Diverses techniques ont été utilisées pour masquer les composants malveillants, notamment l'installation d'un rootkit. , chargé en tant que module pour le noyau Linux. Dans un cas, le processus d’exploitation minière n’a démarré que la nuit, afin de ne pas attirer l’attention.
Une fois piraté, l'hôte pourrait être utilisé pour effectuer diverses tâches, telles que le minage de Monero (XMR), l'exécution d'un proxy (pour communiquer avec d'autres hôtes de minage et le serveur coordonnant le minage), l'exécution d'un proxy SOCKS basé sur microSOCKS (pour accepter des données externes). connexions via SSH) et le transfert SSH (le principal point de pénétration utilisant un compte compromis sur lequel un traducteur d'adresses a été configuré pour le transfert vers le réseau interne). Lors de la connexion à des hôtes compromis, les attaquants utilisaient des hôtes avec des proxys SOCKS et généralement connectés via Tor ou d'autres systèmes compromis.
Source: opennet.ru