U nekoliko velikih računalnih klastera smještenih u superračunalnim centrima u Velikoj Britaniji, Njemačkoj, Švicarskoj i Španjolskoj, tragovi hakiranja infrastrukture i instalacije malwarea za skriveno rudarenje kriptovalute Monero (XMR). Detaljna analiza incidenata još nije dostupna, ali prema preliminarnim podacima, sustavi su bili ugroženi kao rezultat krađe vjerodajnica iz sustava istraživača koji su imali pristup pokretanju zadataka u klasterima (u posljednje vrijeme mnogi klasteri omogućuju pristup istraživači trećih strana koji proučavaju koronavirus SARS-CoV-2 i provode modeliranje procesa povezanog s infekcijom COVID-19). Nakon što su u jednom od slučajeva dobili pristup klasteru, napadači su iskoristili ranjivost u Linux kernelu kako biste dobili root pristup i instalirali rootkit.
dva incidenta u kojima su napadači koristili vjerodajnice prikupljene od korisnika sa Sveučilišta u Krakowu (Poljska), Shanghai Transport University (Kina) i Kineske znanstvene mreže. Vjerodajnice su preuzete od sudionika međunarodnih istraživačkih programa i korištene za povezivanje s klasterima putem SSH-a. Još nije jasno kako su točno vjerodajnice uhvaćene, ali na nekim sustavima (ne na svim) žrtava curenja lozinke identificirane su lažne SSH izvršne datoteke.
Kao rezultat toga, napadači pristup klasteru sa sjedištem u Velikoj Britaniji (Sveučilište u Edinburghu). , na 334. mjestu Top500 najvećih superračunala. Nakon sličnih prodora bili su u klasterima bwUniCluster 2.0 (Karlsruhe Institute of Technology, Njemačka), ForHLR II (Karlsruhe Institute of Technology, Njemačka), bwForCluster JUSTUS (Ulm University, Njemačka), bwForCluster BinAC (Sveučilište u Tübingenu, Njemačka) i Hawk (Sveučilište u Stuttgartu, Njemačka).
Informacije o sigurnosnim incidentima klastera u (CSCS), ( u top 500), (Njemačka) i (, и mjesta u Top500). Osim toga, od zaposlenika informacija o kompromitaciji infrastrukture High Performance Computing Centera u Barceloni (Španjolska) još uvijek nije službeno potvrđena.
promjene
, da su na kompromitirane poslužitelje preuzete dvije zlonamjerne izvršne datoteke za koje je postavljena suid root oznaka: “/etc/fonts/.fonts” i “/etc/fonts/.low”. Prvi je bootloader za pokretanje naredbi ljuske s root privilegijama, a drugi je čistač dnevnika za uklanjanje tragova aktivnosti napadača. Korištene su razne tehnike za skrivanje zlonamjernih komponenti, uključujući instaliranje rootkita. , učitan kao modul za Linux kernel. U jednom slučaju rudarenje je započeto samo noću, kako se ne bi privukla pozornost.
Nakon hakiranja, host bi se mogao koristiti za obavljanje raznih zadataka, kao što je rudarenje Monera (XMR), pokretanje proxyja (za komunikaciju s drugim hostovima za rudarenje i poslužiteljem koji koordinira rudarenje), pokretanje SOCKS proxyja temeljenog na microSOCKS-u (za prihvaćanje vanjskih veze preko SSH) i SSH prosljeđivanje (primarna točka prodora pomoću kompromitiranog računa na kojem je konfiguriran prevoditelj adresa za prosljeđivanje na internu mrežu). Prilikom povezivanja s kompromitiranim hostovima, napadači su koristili hostove sa SOCKS proxyjima i obično su se povezivali preko Tor-a ili drugih kompromitiranih sustava.
Izvor: opennet.ru