Yn ferskate grutte komputerklusters dy't lizze yn superkomputersintra yn it Feriene Keninkryk, Dútslân, Switserlân en Spanje, spoaren fan ynfrastruktuer hacking en ynstallaasje fan malware foar ferburgen mynbou fan 'e Monero (XMR) cryptocurrency. In detaillearre analyze fan 'e ynsidinten is noch net beskikber, mar neffens foarriedige gegevens waarden de systemen kompromittearre as gefolch fan' e stellerij fan bewiisbrieven út 'e systemen fan ûndersikers dy't tagong hiene om taken yn klusters út te fieren (koartlyn jouwe in protte klusters tagong ta ûndersikers fan tredden dy't it SARS-CoV-2-coronavirus studearje en prosesmodellering útfiere ferbûn mei COVID-19-ynfeksje). Nei it krijen fan tagong ta it kluster yn ien fan 'e gefallen, eksploitearren de oanfallers de kwetsberens yn 'e Linux-kernel om root-tagong te krijen en in rootkit te ynstallearjen.
twa ynsidinten wêrby't oanfallers bewiisbrieven brûkten fan brûkers fan 'e Universiteit fan Krakau (Poalen), Shanghai Transport University (Sina) en it Chinese Science Network. Referinsjes waarden fêstlein fan dielnimmers oan ynternasjonale ûndersyksprogramma's en brûkt om te ferbinen mei klusters fia SSH. Hoe krekt de bewiisbrieven waarden fêstlein is noch net dúdlik, mar op guon systemen (net allegear) fan 'e slachtoffers fan' e wachtwurdlek, waarden spoofed SSH-útfierbere bestannen ûntdutsen.
As gefolch, de oanfallers tagong ta it UK-basearre (University of Edinburgh) kluster , ranglist 334e yn 'e Top500 grutste supercomputers. Folgjende ferlykbere penetrations wiene yn de klusters bwUniCluster 2.0 (Karlsruhe Institute of Technology, Dútslân), ForHLR II (Karlsruhe Institute of Technology, Dútslân), bwForCluster JUSTUS (Ulm University, Dútslân), bwForCluster BinAC (Universiteit fan Tübingen, Dútslân) en Hawk (Universiteit fan Stuttgart, Dútslân).
Ynformaasje oer kluster feiligens ynsidinten yn (CSCS), ( yn top 500), (Dútslân) en (, и plakken yn de Top 500). Dêrneist fan meiwurkers ynformaasje oer it kompromis fan 'e ynfrastruktuer fan it High Performance Computing Center yn Barcelona (Spanje) is noch net offisjeel befêstige.
feroarings
, dat twa kweade útfierbere triemmen waarden ynladen nei de kompromittearre tsjinners, dêr't de suid root flagge waard ynsteld: "/etc/fonts/.fonts" en "/etc/fonts/.low". De earste is in bootloader foar it útfieren fan shell-kommando's mei root-privileges, en de twadde is in logreiniger foar it fuortheljen fan spoaren fan oanfalleraktiviteit. Ferskate techniken binne brûkt om kweade komponinten te ferbergjen, ynklusyf it ynstallearjen fan in rootkit. , laden as in module foar de Linux kernel. Yn ien gefal waard it mynbouproses allinich nachts begon, om gjin oandacht te lûken.
Ienris hacked, koe de host brûkt wurde om ferskate taken út te fieren, lykas mining Monero (XMR), in proxy útfiere (om te kommunisearjen mei oare mining-hosts en de tsjinner dy't de mining koördinearret), in microSOCKS-basearre SOCKS-proxy útfiere (om eksterne te akseptearjen ferbiningen fia SSH) en SSH-trochstjoere (it primêre punt fan penetraasje mei in kompromittearre akkount wêrop in adresoersetter is konfigureare foar trochstjoeren nei it ynterne netwurk). By it ferbinen mei kompromittearre hosts, brûkten oanfallers hosts mei SOCKS-proxies en typysk ferbûn fia Tor of oare kompromittearre systemen.
Boarne: opennet.ru