Улуу Британиянын, Германиянын, Швейцариянын жана Испаниянын суперкомпьютердик борборлорунда жайгашкан бир нече чоң эсептөө кластерлеринде, Монеро (XMR) криптовалютасын жашыруун казып алуу үчүн инфраструктураны хакердик жана зыяндуу программаларды орнотуунун издери. Окуялардын деталдуу талдоосу азырынча жок, бирок алдын ала маалыматтар боюнча, системалар кластерлерде тапшырмаларды аткарууга мүмкүнчүлүгү бар изилдөөчүлөрдүн тутумдарынан ишеним грамоталарын уурдоонун натыйжасында бузулган (жакында көптөгөн кластерлер үчүнчү тараптын изилдөөчүлөрү SARS-CoV-2 коронавирусун изилдеп, COVID-19 инфекциясы менен байланышкан процессти моделдештирип жатышат). Кээ бир учурларда кластерге кирүү мүмкүнчүлүгүнө ээ болгондон кийин, чабуулчулар алсыздыктан пайдаланышкан тамыр мүмкүнчүлүгүн алуу жана руткит орнотуу үчүн Linux өзөгүндө.
чабуулчулар Краков университетинин (Польша), Шанхай транспорт университетинин (Кытай) жана Кытайдын илимий тармагынын колдонуучуларынан алынган эсептик дайындарды колдонгон эки окуя. Эл аралык изилдөө программаларынын катышуучуларынан ишеним грамоталары алынып, SSH аркылуу кластерлерге туташуу үчүн колдонулган. Каттоо маалыматтары кандайча так алынганы азырынча белгисиз, бирок сырсөздүн агып кетишинин курмандыктарынын кээ бир тутумдарында (баары эмес) жасалма SSH аткарылуучу файлдары аныкталган.
Натыйжада кол салгандар Улуу Британияда жайгашкан (Эдинбург университети) кластерге кирүү , Топ334 эң чоң суперкомпьютерлердин тизмесинде 500-орунду ээлеген. Ушундай эле кирүүлөр болгон кластерлерде bwUniCluster 2.0 (Карлсруэ технологиялык институту, Германия), ForHLR II (Карлсруэ технологиялык институту, Германия), bwForCluster JUSTUS (Ульм университети, Германия), bwForCluster BinAC (Тюбинген университети, Германия) жана Hawk (Штутгарт университети, Германия).
Кластердик коопсуздук инциденттери тууралуу маалымат (CSCS), ( топ500), (Германия) жана (, и Топ 500 орундары). Мындан тышкары, кызматкерлерден Барселонадагы (Испания) жогорку натыйжалуу эсептөө борборунун инфраструктурасынын компромисси тууралуу маалымат расмий түрдө тастыктала элек.
өзгөрүүлөр
, эки зыяндуу аткарылуучу файл бузулган серверлерге жүктөлүп алынган, алар үчүн suid түпкү желеги коюлган: “/etc/fonts/.fonts” жана “/etc/fonts/.low”. Биринчиси - тамыр артыкчылыктары бар кабык буйруктарын иштетүү үчүн жүктөгүч, ал эми экинчиси - чабуулчу аракетинин изин жок кылуу үчүн журнал тазалоочу. Зыяндуу компоненттерди жашыруу үчүн ар кандай ыкмалар, анын ичинде руткиттерди орнотуу колдонулган. , Linux ядросу үчүн модуль катары жүктөлгөн. Бир учурда кенди казып алуу иши көңүлдү бурбасын деп түн ичинде гана башталган.
Хакердик чабуулга кабылгандан кийин, хост ар кандай тапшырмаларды аткаруу үчүн колдонулушу мүмкүн, мисалы, Монеро (XMR) казуу, прокси иштетүү (башка тоо-кен хосттору жана тоо-кен казып алууну координациялоочу сервер менен байланышуу үчүн), microSOCKS негизиндеги SOCKS проксисин иштетүү (тышкы кабыл алуу үчүн). SSH аркылуу байланыштар) жана SSH багыттоо (ички тармакка багыттоо үчүн дарек котормочу конфигурацияланган бузулган эсепти колдонуу менен кирүүнүн негизги чекити). Бузулган хостторго туташууда, чабуулчулар SOCKS проксилери бар хостторду колдонушкан жана адатта Tor же башка бузулган системалар аркылуу туташкан.
Source: opennet.ru