Di beberapa kluster komputasi besar yang terletak di pusat superkomputer di Inggris, Jerman, Swiss, dan Spanyol, Jejak peretasan infrastruktur dan pemasangan malware untuk penambangan mata uang kripto Monero (XMR) secara tersembunyi telah ditemukan. Analisis terperinci mengenai insiden ini belum tersedia, tetapi data awal menunjukkan bahwa sistem telah disusupi dengan mencuri kredensial dari para peneliti yang memiliki akses untuk menjalankan pekerjaan dalam klaster (banyak klaster baru-baru ini menyediakan akses kepada peneliti pihak ketiga yang mempelajari virus corona SARS-CoV-2 dan proses pemodelan terkait infeksi COVID-19). Setelah mendapatkan akses ke klaster, dalam satu kasus, para penyerang mengeksploitasi kerentanan. di inti Linux untuk mendapatkan akses root dan menginstal rootkit.
Dua insiden melibatkan penyerang yang menggunakan kredensial yang dicuri dari pengguna di Universitas Krakow (Polandia), Universitas Shanghai Jiaotong (Tiongkok), dan Jaringan Sains Tiongkok. Kredensial tersebut dicuri dari peserta program riset internasional dan digunakan untuk terhubung ke klaster melalui SSH. Bagaimana tepatnya kredensial tersebut dicuri masih belum jelas, tetapi file eksekusi SSH palsu ditemukan di beberapa (tidak semua) sistem korban kebocoran kata sandi.
Akibatnya, para penyerang akses ke klaster yang terletak di Inggris (Universitas Edinburgh) , menduduki peringkat ke-334 dalam 500 superkomputer terbesar. Intrusi serupa pun terjadi. di klaster bwUniCluster 2.0 (Institut Teknologi Karlsruhe, Jerman), ForHLR II (Institut Teknologi Karlsruhe, Jerman), bwForCluster JUSTUS (Universitas Ulm, Jerman), bwForCluster BinAC (Universitas Tübingen, Jerman) dan Hawk (Universitas Stuttgart, Jerman).
Kemudian, informasi mengenai insiden keamanan dengan cluster di (CSCS), ( di 500 teratas), (Jerman) dan (, и tempat di Top500). Selain itu, dari karyawan Masih ada informasi yang belum dikonfirmasi tentang kompromi infrastruktur Pusat Komputasi Kinerja Tinggi di Barcelona (Spanyol).
perubahan
Dua berkas eksekusi berbahaya dengan tanda suid root diunggah ke server yang disusupi: "/etc/fonts/.fonts" dan "/etc/fonts/.low." Berkas pertama adalah pemuat untuk menjalankan perintah shell dengan hak akses root, dan berkas kedua adalah pembersih log untuk menghapus jejak aktivitas penyerang. Berbagai teknik digunakan untuk menyembunyikan komponen berbahaya tersebut, termasuk memasang rootkit. , dimuat sebagai modul untuk kernel LinuxDalam satu kasus, proses penambangan hanya dimulai pada malam hari untuk menghindari menarik perhatian.
Setelah disusupi, host tersebut dapat digunakan untuk berbagai tugas, seperti menambang Monero (XMR), menjalankan proksi (untuk berkomunikasi dengan host penambangan lain dan server yang mengoordinasikan penambangan), menjalankan proksi SOCKS berbasis microSOCKS (untuk menerima koneksi SSH eksternal), dan penerusan SSH (titik masuk utama menggunakan akun yang disusupi yang dikonfigurasi dengan penerjemah alamat untuk meneruskan ke jaringan internal). Saat terhubung ke node yang disusupi, penyerang menggunakan host dengan proksi SOCKS dan biasanya terhubung melalui Tor atau sistem lain yang disusupi.
Sumber: opennet.ru
