En varios grandes clusters informáticos situados en centros de supercomputación do Reino Unido, Alemaña, Suíza e España, rastros de piratería de infraestruturas e instalación de malware para a minería oculta da criptomoeda Monero (XMR). Aínda non se dispón dunha análise detallada dos incidentes, pero segundo datos preliminares, os sistemas víronse comprometidos como consecuencia do roubo de credenciais dos sistemas dos investigadores que tiñan acceso para executar tarefas en clústeres (recentemente, moitos clústeres proporcionan acceso a investigadores externos que estudan o coronavirus SARS-CoV-2 e realizan modelos de procesos asociados á infección por COVID-19). Despois de acceder ao clúster nun dos casos, os atacantes explotaron a vulnerabilidade no núcleo de Linux para obter acceso root e instalar un rootkit.
dous incidentes nos que os atacantes utilizaron credenciais capturadas de usuarios da Universidade de Cracovia (Polonia), a Universidade de Transporte de Xangai (China) e a Rede Científica Chinesa. As credenciais foron capturadas dos participantes en programas de investigación internacionais e usáronse para conectarse a clusters a través de SSH. Aínda non está claro como se capturaron exactamente as credenciais, pero nalgúns sistemas (non todos) das vítimas da fuga de contrasinal detectáronse ficheiros executables SSH falsificados.
Como resultado, os atacantes acceso ao cluster do Reino Unido (Universidade de Edimburgo). , ocupa o posto 334 entre os 500 maiores supercomputadores. As seguintes penetracións similares foron nos clusters bwUniCluster 2.0 (Karlsruhe Institute of Technology, Alemaña), ForHLR II (Karlsruhe Institute of Technology, Alemaña), bwForCluster JUSTUS (Universidade de Ulm, Alemaña), bwForCluster BinAC (Universidade de Tubinga, Alemaña) e Hawk (Universidade de Stuttgart, Alemaña).
Información sobre incidentes de seguridade do clúster en (CSCS), ( no top 500), (Alemaña) e (, и lugares no Top500). Ademais, dos empregados A información sobre o compromiso da infraestrutura do Centro de Computación de Alto Rendemento de Barcelona (España) aínda non foi confirmada oficialmente.
cambios
, que se descargaron dous ficheiros executables maliciosos nos servidores comprometidos, para os que se estableceu a marca de root suid: “/etc/fonts/.fonts” e “/etc/fonts/.low”. O primeiro é un cargador de arranque para executar comandos de shell con privilexios de root, e o segundo é un limpador de rexistros para eliminar rastros da actividade do atacante. Utilizáronse varias técnicas para ocultar compoñentes maliciosos, incluíndo a instalación dun rootkit. , cargado como módulo para o núcleo de Linux. Nun caso, o proceso de minería comezou só pola noite, para non chamar a atención.
Unha vez pirateado, o host podería usarse para realizar varias tarefas, como minar Monero (XMR), executar un proxy (para comunicarse con outros hosts de minería e co servidor que coordina a minería), executar un proxy SOCKS baseado en microSOCKS (para aceptar conexións vía SSH) e reenvío SSH (o punto principal de penetración mediante unha conta comprometida na que se configurou un tradutor de enderezos para o reenvío á rede interna). Ao conectarse a hosts comprometidos, os atacantes usaban hosts con proxies SOCKS e normalmente conectaban a través de Tor ou outros sistemas comprometidos.
Fonte: opennet.ru