Az Egyesült Királyságban, Németországban, Svájcban és Spanyolországban található szuperszámítási központokban található számos nagy számítástechnikai klaszterben, infrastruktúra-feltörés nyomai és rosszindulatú programok telepítése a Monero (XMR) kriptovaluta rejtett bányászatához. Az incidensek részletes elemzése még nem áll rendelkezésre, de az előzetes adatok szerint a rendszerek kompromittálódása az volt, hogy a klaszterekben feladatokat futtató kutatók rendszereiből ellopták a hitelesítő adatokat (az utóbbi időben sok klaszter biztosít hozzáférést harmadik fél kutatók, akik a SARS-CoV-2 koronavírust tanulmányozzák és a COVID-19 fertőzéssel kapcsolatos folyamatmodellezést végeznek). Miután az egyik esetben hozzáfértek a fürthöz, a támadók kihasználták a biztonsági rést a Linux kernelben, hogy root hozzáférést szerezzen, és telepítsen egy rootkit-et.
két incidens, amelyben a támadók a Krakkói Egyetem (Lengyelország), a Sanghaji Közlekedési Egyetem (Kína) és a Kínai Tudományos Hálózat felhasználóitól szerzett hitelesítő adatokat használtak fel. A hitelesítő adatokat a nemzetközi kutatási programok résztvevőitől szerezték be, és SSH-n keresztül a klaszterekhez való csatlakozáshoz használták őket. Még nem világos, hogy pontosan hogyan rögzítették a hitelesítő adatokat, de a jelszókiszivárgás áldozatai közül egyes rendszereken (nem mindegyiken) hamisított SSH futtatható fájlokat azonosítottak.
Ennek eredményeként a támadók hozzáférést biztosít a brit székhelyű (Edinburgh-i Egyetem) klaszterhez , a 334. helyen áll a Top500 legnagyobb szuperszámítógép között. Hasonló behatolásokat követtek a klaszterekben: bwUniCluster 2.0 (Karlsruhei Műszaki Intézet, Németország), ForHLR II (Karlsruhe Technológiai Intézet, Németország), bwForCluster JUSTUS (Ulmi Egyetem, Németország), bwForCluster BinAC (University of Tübingeni, Németország) és Hawk (University of Stuttgart, Németország).
Információ a fürt biztonsági incidenseiről itt (CSCS), ( top 500-ban) (Németország) és (, и hely a Top500-ban). Ráadásul az alkalmazottaktól a barcelonai (Spanyolország) High Performance Computing Center infrastruktúrájának kompromittálásával kapcsolatos információkat hivatalosan még nem erősítették meg.
változtatások
, hogy két rosszindulatú végrehajtható fájlt töltöttek le a feltört szerverekre, amelyekhez a suid root jelző be lett állítva: „/etc/fonts/.fonts” és „/etc/fonts/.low”. Az első egy rendszerbetöltő rendszer shell-parancsok futtatásához root jogosultságokkal, a második pedig egy naplótisztító a támadók tevékenységének nyomainak eltávolítására. Különféle technikákat alkalmaztak a rosszindulatú összetevők elrejtésére, beleértve a rootkit telepítését. , modulként betöltve a Linux kernelhez. Egy esetben a bányászati folyamatot csak éjszaka kezdték meg, hogy ne vonják magukra a figyelmet.
A feltörést követően a gazdagép különféle feladatok végrehajtására használható, mint például a Monero bányászata (XMR), proxy futtatása (kommunikáljon más bányászati gépekkel és a bányászatot koordináló szerverrel), microSOCKS alapú SOCKS proxy futtatása (külső fogadáshoz kapcsolatok SSH-n keresztül) és SSH-továbbítás (az elsődleges behatolási pont egy olyan feltört fiók használatával, amelyen egy címfordítót konfiguráltak a belső hálózatra történő továbbításhoz). Amikor feltört gazdagépekhez kapcsolódtak, a támadók SOCKS proxyval rendelkező gazdagépeket használtak, és általában Toron vagy más feltört rendszeren keresztül csatlakoztak.
Forrás: opennet.ru