Í nokkrum stórum tölvuklösum sem staðsettir eru í ofurtölvumiðstöðvum í Bretlandi, Þýskalandi, Sviss og Spáni, leifar af innviðahakki og uppsetningu spilliforrita fyrir falinn námuvinnslu á Monero (XMR) dulritunargjaldmiðlinum. Nákvæm greining á atvikunum liggur ekki enn fyrir, en samkvæmt bráðabirgðagögnum voru kerfin í hættu vegna þjófnaðar á skilríkjum úr kerfum rannsakenda sem höfðu aðgang að því að keyra verkefni í klasa (nýlega hafa margir klasar aðgang að þriðju aðila vísindamenn sem rannsaka SARS-CoV-2 kórónavírusinn og framkvæma ferlalíkana í tengslum við COVID-19 sýkingu). Eftir að hafa fengið aðgang að þyrpingunni í einu tilvikanna nýttu árásarmennirnir sér veikleikann í Linux kjarnanum til að fá rótaraðgang og setja upp rootkit.
tvö atvik þar sem árásarmenn notuðu heimildir sem teknar voru frá notendum frá háskólanum í Krakow (Póllandi), Shanghai Transport University (Kína) og kínverska vísindanetinu. Skilríki voru tekin frá þátttakendum í alþjóðlegum rannsóknaráætlunum og notuð til að tengjast klasa í gegnum SSH. Hvernig nákvæmlega persónuskilríkin voru tekin er ekki enn ljóst, en í sumum kerfum (ekki öllum) fórnarlamba lykilorðslekans fundust sviknar SSH keyranlegar skrár.
Þar af leiðandi, árásarmennirnir aðgangur að þyrpingunni í Bretlandi (University of Edinburgh). , í 334. sæti yfir 500 stærstu ofurtölvurnar. Eftir svipaðar skarpskyggni voru í þyrpingunum bwUniCluster 2.0 (Karlsruhe Institute of Technology, Þýskalandi), ForHLR II (Karlsruhe Institute of Technology, Þýskalandi), bwForCluster JUSTUS (Ulm University, Þýskalandi), bwForCluster BinAC (University of Tübingen, Þýskalandi) og Hawk (University of Stuttgart, Þýskaland).
Upplýsingar um klasaöryggisatvik í (CSCS), ( í topp 500), (Þýskaland) og (, и sæti í efstu 500). Auk þess frá starfsmönnum upplýsingar um málamiðlun innviða High Performance Computing Center í Barcelona (Spáni) hafa ekki enn verið opinberlega staðfestar.
breytingar
, að tveimur skaðlegum keyrsluskrám hafi verið hlaðið niður á netþjóna sem voru í hættu, sem suid rótfáninn var stilltur fyrir: “/etc/fonts/.fonts” og “/etc/fonts/.low”. Hið fyrra er ræsiforrit til að keyra skeljaskipanir með rótarréttindum og hið síðara er ræsiforrit til að fjarlægja ummerki um virkni árásarmanna. Ýmsar aðferðir hafa verið notaðar til að fela skaðlega hluti, þar á meðal að setja upp rootkit. , hlaðið sem eining fyrir Linux kjarnann. Í einu tilviki var námuvinnslan aðeins hafin á nóttunni til að vekja ekki athygli.
Þegar búið var að hakka hann, var hægt að nota hýsilinn til að framkvæma ýmis verkefni, svo sem námuvinnslu Monero (XMR), keyra umboð (til að hafa samskipti við aðra námuvinnsluhýsinga og þjóninn sem samhæfir námuvinnsluna), keyra SOCKS umboð sem byggir á microSOCKS (til að samþykkja utanaðkomandi tengingar í gegnum SSH) og SSH-framsendingu (aðal punkturinn sem kemst í gegn með því að nota reikning í hættu þar sem vistfangaþýðandi var stilltur til að framsenda á innra netið). Þegar þeir tengdust hýsingum sem hafa verið í hættu notuðu árásarmenn vélar með SOCKS umboðum og tengdust venjulega í gegnum Tor eða önnur kerfi sem voru í hættu.
Heimild: opennet.ru