Ұлыбритания, Германия, Швейцария және Испаниядағы суперкомпьютер орталықтарында орналасқан бірнеше ірі есептеу кластерлерінде, инфрақұрылымды бұзу және Monero (XMR) криптовалютасын жасырын өндіруге арналған зиянды бағдарламаларды орнату іздері. Оқиғалардың егжей-тегжейлі талдауы әлі қол жетімді емес, бірақ алдын ала мәліметтерге сәйкес, кластерлерде тапсырмаларды орындауға рұқсаты бар зерттеушілердің жүйелерінен тіркелгі деректерін ұрлау нәтижесінде жүйелер бұзылған (жақында көптеген кластерлер SARS-CoV-2 коронавирусын зерттейтін және COVID-19 инфекциясымен байланысты процесті модельдеуді жүргізетін үшінші тарап зерттеушілері). Жағдайлардың бірінде кластерге қол жеткізгеннен кейін, шабуылдаушылар осалдықты пайдаланды. түбірлік рұқсат алу және руткит орнату үшін Linux ядросында.
шабуылдаушылар Краков университетінің (Польша), Шанхай көлік университетінің (Қытай) және Қытай ғылыми желісінің пайдаланушыларынан алынған тіркелгі деректерін пайдаланған екі оқиға. Тіркелгі деректері халықаралық зерттеу бағдарламаларына қатысушылардан алынды және SSH арқылы кластерлерге қосылу үшін пайдаланылды. Тіркелгі деректерінің нақты қалай түсірілгені әлі анық емес, бірақ құпия сөздің ағып кетуі құрбандарының кейбір жүйелерінде (барлығы емес) жалған SSH орындалатын файлдары анықталды.
Нәтижесінде шабуылдаушылар Ұлыбританияда орналасқан (Эдинбург университеті) кластеріне қол жеткізу , Top334 ең ірі суперкомпьютерлер тізімінде 500-орынға ие болды. Кейіннен ұқсас енулер болды кластерлерінде bwUniCluster 2.0 (Карлсруэ технологиялық институты, Германия), ForHLR II (Карлсруэ технологиялық институты, Германия), bwForCluster JUSTUS (Ульм университеті, Германия), bwForCluster BinAC (Тюбинген университеті, Германия) және Hawk (Штутгарт университеті, Германия).
Кластерлік қауіпсіздік оқиғалары туралы ақпарат (CSCS), ( топ 500), (Германия) және (, и Top500-дегі орындар). Сонымен қатар, қызметкерлерден Барселонадағы (Испания) жоғары өнімді есептеу орталығының инфрақұрылымының ымыраға келуі туралы ақпарат әлі ресми түрде расталған жоқ.
өзгерістер
, «/etc/fonts/.fonts» және «/etc/fonts/.low». Біріншісі - түбірлік артықшылықтары бар қабық пәрмендерін іске қосуға арналған жүктеуші, ал екіншісі - шабуылдаушы әрекетінің іздерін жоюға арналған журнал тазалау құралы. Зиянды құрамдастарды жасыру үшін әртүрлі әдістер, соның ішінде руткит орнату пайдаланылды. , Linux ядросы үшін модуль ретінде жүктелген. Бірде жұрттың назарын аудармау үшін тау-кен жұмыстарын түнде ғана бастаған.
Бұзылғаннан кейін хостты әртүрлі тапсырмаларды орындау үшін пайдалануға болады, мысалы, Monero (XMR) өндіру, проксиді іске қосу (басқа тау-кен хосттарымен және өндіруді үйлестіретін сервермен байланысу үшін), microSOCKS негізіндегі SOCKS проксиін іске қосу (сыртқы қабылдау үшін). SSH арқылы қосылымдар) және SSH бағыттау (ішкі желіге қайта жіберу үшін мекенжай аудармашысы конфигурацияланған бұзылған тіркелгіні пайдаланып енудің негізгі нүктесі). Бұзылған хосттарға қосылу кезінде шабуылдаушылар SOCKS проксилері бар хосттарды пайдаланды және әдетте Tor немесе басқа бұзылған жүйелер арқылы қосылды.
Ақпарат көзі: opennet.ru