Di beberapa cluster komputasi besar yang berlokasi di pusat superkomputer di Inggris, Jerman, Swiss, dan Spanyol, jejak peretasan infrastruktur dan pemasangan malware untuk penambangan tersembunyi mata uang kripto Monero (XMR). Analisis rinci mengenai insiden tersebut belum tersedia, namun menurut data awal, sistem tersebut telah disusupi sebagai akibat dari pencurian kredensial dari sistem peneliti yang memiliki akses untuk menjalankan tugas dalam cluster (baru-baru ini, banyak cluster yang menyediakan akses ke peneliti pihak ketiga yang mempelajari virus corona SARS-CoV-2 dan melakukan pemodelan proses yang terkait dengan infeksi COVID-19). Setelah mendapatkan akses ke cluster dalam salah satu kasus, penyerang mengeksploitasi kerentanan di kernel Linux untuk mendapatkan akses root dan menginstal rootkit.
dua insiden di mana penyerang menggunakan kredensial yang diambil dari pengguna dari Universitas Krakow (Polandia), Universitas Transportasi Shanghai (Tiongkok) dan Jaringan Sains Tiongkok. Kredensial diambil dari peserta program penelitian internasional dan digunakan untuk terhubung ke cluster melalui SSH. Bagaimana tepatnya kredensial diambil masih belum jelas, tetapi pada beberapa sistem (tidak semua) korban kebocoran kata sandi, file executable SSH palsu telah diidentifikasi.
Akibatnya, para penyerang akses ke cluster yang berbasis di Inggris (Universitas Edinburgh). , peringkat ke-334 dalam Top500 superkomputer terbesar. Berikut penetrasi serupa di cluster bwUniCluster 2.0 (Karlsruhe Institute of Technology, Jerman), ForHLR II (Karlsruhe Institute of Technology, Jerman), bwForCluster JUSTUS (Ulm University, Jerman), bwForCluster BinAC (University of TΓΌbingen, Jerman) dan Hawk (University of Stuttgart, Jerman).
Informasi tentang insiden keamanan cluster di (CSCS), ( di 500 teratas), (Jerman) dan (, ΠΈ tempat di Top500). Selain itu, dari karyawan informasi tentang kompromi infrastruktur Pusat Komputasi Kinerja Tinggi di Barcelona (Spanyol) belum dikonfirmasi secara resmi.
perubahan
, bahwa dua file berbahaya yang dapat dieksekusi diunduh ke server yang disusupi, yang bendera root suidnya disetel: β/etc/fonts/.fontsβ dan β/etc/fonts/.lowβ. Yang pertama adalah bootloader untuk menjalankan perintah shell dengan hak akses root, dan yang kedua adalah pembersih log untuk menghapus jejak aktivitas penyerang. Berbagai teknik telah digunakan untuk menyembunyikan komponen berbahaya, termasuk menginstal rootkit. , dimuat sebagai modul untuk kernel Linux. Dalam satu kasus, proses penambangan hanya dimulai pada malam hari, agar tidak menarik perhatian.
Setelah diretas, host dapat digunakan untuk melakukan berbagai tugas, seperti menambang Monero (XMR), menjalankan proxy (untuk berkomunikasi dengan host penambangan lain dan server yang mengoordinasikan penambangan), menjalankan proxy SOCKS berbasis microSOCKS (untuk menerima eksternal) koneksi melalui SSH) dan penerusan SSH (titik penetrasi utama menggunakan akun yang disusupi tempat penerjemah alamat dikonfigurasi untuk meneruskan ke jaringan internal). Saat terhubung ke host yang disusupi, penyerang menggunakan host dengan proxy SOCKS dan biasanya terhubung melalui Tor atau sistem lain yang disusupi.
Sumber: opennet.ru