In diversi grandi cluster informatici situati in centri di supercalcolo nel Regno Unito, Germania, Svizzera e Spagna, tracce di hacking infrastrutturale e installazione di malware per il mining nascosto della criptovaluta Monero (XMR). Non è ancora disponibile un'analisi dettagliata degli incidenti, ma secondo i dati preliminari i sistemi sono stati compromessi a seguito del furto di credenziali dai sistemi dei ricercatori che avevano accesso per eseguire attività nei cluster (recentemente molti cluster forniscono accesso a ricercatori di terze parti che studiano il coronavirus SARS-CoV-2 e conducono modelli di processo associati all’infezione da COVID-19). In uno dei casi gli aggressori sono riusciti ad accedere al cluster e hanno sfruttato la vulnerabilità nel kernel Linux per ottenere l'accesso root e installare un rootkit.
due incidenti in cui gli aggressori hanno utilizzato credenziali catturate da utenti dell'Università di Cracovia (Polonia), dell'Università dei trasporti di Shanghai (Cina) e del Chinese Science Network. Le credenziali sono state acquisite dai partecipanti a programmi di ricerca internazionali e utilizzate per connettersi ai cluster tramite SSH. Non è ancora chiaro come siano state catturate esattamente le credenziali, ma su alcuni sistemi (non tutti) delle vittime della fuga di password sono stati identificati file eseguibili SSH contraffatti.
Di conseguenza, gli aggressori accesso al cluster con sede nel Regno Unito (Università di Edimburgo). , classificato al 334° posto nella Top 500 dei supercomputer più grandi. In seguito penetrazioni simili furono nei cluster bwUniCluster 2.0 (Karlsruhe Institute of Technology, Germania), ForHLR II (Karlsruhe Institute of Technology, Germania), bwForCluster JUSTUS (Università di Ulm, Germania), bwForCluster BinAC (Università di Tubinga, Germania) e Hawk (Università di Stoccarda, Germania).
Informazioni sugli incidenti di sicurezza del cluster in (CSCS), ( nella top500), (Germania) e (, и posti nella Top500). Inoltre, dai dipendenti le informazioni sulla compromissione dell'infrastruttura del Centro di calcolo ad alte prestazioni di Barcellona (Spagna) non sono state ancora confermate ufficialmente.
cambiamento
, che due file eseguibili dannosi sono stati scaricati sui server compromessi, per i quali era stato impostato il flag suid root: “/etc/fonts/.fonts” e “/etc/fonts/.low”. Il primo è un bootloader per eseguire comandi shell con privilegi di root, mentre il secondo è un pulitore di log per rimuovere tracce dell'attività degli aggressori. Sono state utilizzate varie tecniche per nascondere componenti dannosi, inclusa l'installazione di un rootkit. , caricato come modulo per il kernel Linux. In un caso, il processo di estrazione è iniziato solo di notte, per non attirare l’attenzione.
Una volta violato, l'host potrebbe essere utilizzato per eseguire varie attività, come il mining di Monero (XMR), l'esecuzione di un proxy (per comunicare con altri host di mining e il server che coordina il mining), l'esecuzione di un proxy SOCKS basato su microSOCKS (per accettare connessioni tramite SSH) e l'inoltro SSH (il punto di penetrazione principale utilizzando un account compromesso su cui è stato configurato un traduttore di indirizzi per l'inoltro alla rete interna). Quando si connettevano a host compromessi, gli aggressori utilizzavano host con proxy SOCKS e in genere si connettevano tramite Tor o altri sistemi compromessi.
Fonte: opennet.ru