英国、ドイツ、スイス、スペインのスーパーコンピューティング センターにあるいくつかの大規模なコンピューティング クラスターでは、 インフラストラクチャのハッキングと暗号通貨Monero(XMR)の隠れた採掘のためのマルウェアのインストールの痕跡。 インシデントの詳細な分析はまだ入手できませんが、予備データによると、クラスター内でタスクを実行するためのアクセス権を持っていた研究者のシステムから資格情報が盗まれた結果、システムが侵害されました (最近、多くのクラスターがアクセスを提供しています)。 SARS-CoV-2 コロナウイルスを研究し、新型コロナウイルス感染症に関連するプロセス モデリングを実施している第三者の研究者)。 攻撃者は、そのうちの 19 つでクラスターにアクセスした後、その脆弱性を悪用しました。 Linux カーネルで root アクセスを取得し、ルートキットをインストールします。
攻撃者がクラクフ大学 (ポーランド)、上海交通大学 (中国)、中国科学ネットワークのユーザーから取得した認証情報を使用した XNUMX 件の事件。 認証情報は国際研究プログラムの参加者から取得され、SSH 経由でクラスターに接続するために使用されました。 認証情報がどのように正確に取得されたのかはまだ明らかではありませんが、パスワード漏洩の被害者の一部のシステム (すべてではありません) で、なりすましの SSH 実行可能ファイルが特定されました。
その結果、攻撃者は、 英国を拠点とする (エディンバラ大学) クラスターへのアクセス 、トップ 334 の最大のスーパーコンピューターで 500 位にランクされました。 同様の侵入が続いた クラスター内では、bwUniCluster 2.0 (ドイツのカールスルーエ工科大学)、ForHLR II (ドイツのカールスルーエ工科大学)、bwForCluster JUSTUS (ドイツのウルム大学)、bwForCluster BinAC (ドイツのテュービンゲン大学)、および Hawk (シュトゥットガルト大学、ドイツ)。
のクラスターセキュリティインシデントに関する情報 (CSCS)、 ( トップ500内)、 (ドイツ)と (, и Top500 にランクインします)。 また、従業員からも バルセロナ (スペイン) のハイパフォーマンス コンピューティング センターのインフラストラクチャの侵害に関する情報はまだ正式に確認されていません。
変化
、XNUMX つの悪意のある実行可能ファイルが侵害されたサーバーにダウンロードされ、suid ルート フラグ「/etc/fonts/.fonts」と「/etc/fonts/.low」が設定されたことがわかります。 XNUMX つ目は root 権限でシェル コマンドを実行するためのブートローダーで、XNUMX つ目は攻撃者の活動の痕跡を削除するためのログ クリーナーです。 悪意のあるコンポーネントを隠すために、ルートキットのインストールなど、さまざまな手法が使用されています。 、Linux カーネルのモジュールとしてロードされます。 注目を集めないように、採掘プロセスが夜間にのみ開始されたケースもありました。
ハッキングされると、ホストは、Monero (XMR) のマイニング、プロキシの実行 (他のマイニング ホストおよびマイニングを調整するサーバーと通信するため)、microSOCKS ベースの SOCKS プロキシの実行 (外部を受け入れるため) など、さまざまなタスクの実行に使用される可能性があります。 SSH 経由の接続)と SSH 転送(内部ネットワークに転送するようにアドレス変換器が設定された、侵害されたアカウントを使用した主要な侵入ポイント)。 侵害されたホストに接続する場合、攻撃者は SOCKS プロキシを備えたホストを使用し、通常は Tor または他の侵害されたシステムを介して接続しました。
出所: オープンネット.ru