Ing sawetara klompok komputasi gedhe sing ana ing pusat superkomputer ing Inggris, Jerman, Swiss lan Spanyol, jejak hacking infrastruktur lan instalasi malware kanggo pertambangan didhelikake saka cryptocurrency Monero (XMR). Analisis rinci babagan kedadeyan kasebut durung kasedhiya, nanging miturut data awal, sistem kasebut dikompromi minangka akibat saka nyolong kredensial saka sistem peneliti sing nduweni akses kanggo mbukak tugas ing kluster (bubar iki, akeh kluster nyedhiyakake akses menyang peneliti pihak katelu nyinaoni coronavirus SARS-CoV-2 lan nindakake modeling proses sing ana gandhengane karo infeksi COVID-19). Sawise entuk akses menyang kluster ing salah sawijining kasus, para panyerang ngeksploitasi kerentanan kasebut ing kernel Linux kanggo entuk akses root lan nginstal rootkit.
rong kedadean ing ngendi panyerang nggunakake kredensial sing dijupuk saka pangguna saka Universitas Krakow (Polandia), Universitas Transportasi Shanghai (China) lan Jaringan Ilmu Cina. Kredensial dijupuk saka peserta ing program riset internasional lan digunakake kanggo nyambung menyang kluster liwat SSH. Kepiye carane kapercayan kasebut dijupuk durung jelas, nanging ing sawetara sistem (ora kabeh) korban bocor sandi, file eksekusi SSH sing palsu diidentifikasi.
AkibatΓ©, para penyerang akses menyang kluster basis UK (Universitas Edinburgh). , peringkat 334th ing Top500 superkomputer paling gedhe. Dipuntedahaken seng nembus padha padha ing kluster bwUniCluster 2.0 (Institut Teknologi Karlsruhe, Jerman), ForHLR II (Institut Teknologi Karlsruhe, Jerman), bwForCluster JUSTUS (Universitas Ulm, Jerman), bwForCluster BinAC (Universitas TΓΌbingen, Jerman) lan Hawk (Universitas Stuttgart, Jerman).
Informasi babagan kedadeyan keamanan cluster ing (CSCS), ( ing ndhuwur 500), (Jerman) lan (, ΠΈ panggonan ing Top500). Kajaba iku, saka karyawan informasi babagan kompromi infrastruktur Pusat Komputasi Kinerja Tinggi ing Barcelona (Spanyol) durung dikonfirmasi kanthi resmi.
owah-owahan
, sing loro file eksekusi angkoro padha diundhuh menyang server kompromi, sing gendΓ©ra ROOT suid disetel: "/etc/fonts/.fonts" lan "/etc/fonts/.low". Kapisan yaiku bootloader kanggo nglakokake perintah cangkang kanthi hak istimewa root, lan sing nomer loro yaiku pembersih log kanggo mbusak jejak aktivitas penyerang. Macem-macem teknik wis digunakake kanggo ndhelikake komponen sing mbebayani, kalebu nginstal rootkit. , dimuat minangka modul kanggo kernel Linux. Ing sawijining kasus, proses pertambangan diwiwiti mung ing wayah wengi, supaya ora narik kawigaten.
Sawise disusupi, host bisa digunakake kanggo nindakake macem-macem tugas, kayata pertambangan Monero (XMR), nglakokake proxy (kanggo komunikasi karo host pertambangan liyane lan server sing koordinasi pertambangan), nglakokake proxy SOCKS berbasis microSOCKS (kanggo nampa eksternal). sambungan liwat SSH) lan penerusan SSH (titik utama penetrasi nggunakake akun kompromi ing ngendi penerjemah alamat dikonfigurasi kanggo diterusake menyang jaringan internal). Nalika nyambung menyang host sing dikompromi, panyerang nggunakake host nganggo proxy SOCKS lan biasane disambungake liwat Tor utawa sistem liyane sing dikompromi.
Source: opennet.ru