A verschiddene grousse Rechenclusteren an Supercomputing Zentren a Groussbritannien, Däitschland, der Schwäiz a Spuenien, Spure vun Infrastruktur Hacking an Installatioun vun malware fir verstoppt Biergbau vun der Monero (XMR) cryptocurrency. Eng detailléiert Analyse vun den Tëschefäll ass nach net verfügbar, awer no virleefeg Donnéeën goufen d'Systemer kompromittéiert als Resultat vum Vol vun Umeldungsinformatiounen aus de Systemer vun de Fuerscher, déi Zougang haten fir Aufgaben a Cluster ze lafen (viru kuerzem hu vill Cluster Zougang zu Drëtt Partei Fuerscher déi de SARS-CoV-2 Coronavirus studéieren a Prozessmodelléierung mat der COVID-19 Infektioun verbonne maachen). Nodeems an engem vun de Fäll Zougang zum Stärekoup gewonnen hunn, hunn d'Ugräifer d'Schwachheet ausgenotzt am Linux Kernel fir Root Zougang ze kréien an e Rootkit z'installéieren.
zwee Tëschefäll, an deenen Ugräifer Umeldungsinformatioune benotzt hunn, déi vu Benotzer vun der Universitéit vu Krakau (Polen), Shanghai Transport University (China) an dem Chinesesche Wëssenschaftlechen Netzwierk erfaasst goufen. Umeldungsinformatiounen goufen vun de Participanten an internationale Fuerschungsprogrammer ageholl a benotzt fir mat Cluster iwwer SSH ze verbannen. Wéi genau d'Umeldungsinformatioune festgeholl goufen ass nach net kloer, awer op e puer Systemer (net all) vun den Affer vum Passwuertleck, goufen spoofed SSH ausführbar Dateien identifizéiert.
Als Resultat hunn d'Attacker Zougang zum UK-baséierten (University of Edinburgh) Cluster , op der 334. Plaz an den Top500 gréisste Supercomputer. No ähnlechen Pénétratiounen waren an de Cluster bwUniCluster 2.0 (Karlsruhe Institut fir Technologie, Däitschland), ForHLR II (Karlsruhe Institut fir Technologie, Däitschland), bwForCluster JUSTUS (Ulm Universitéit, Däitschland), bwForCluster BinAC (Universitéit Tübingen, Däitschland) an Hawk (Universitéit Stuttgart, Däitschland).
Informatiounen iwwer Cluster Sécherheet Tëschefäll an (CSCS), ( an den Top 500), (Däitschland) an (, и Plazen an der Top 500). Zousätzlech, aus Mataarbechter Informatioun iwwer de Kompromëss vun der Infrastruktur vum High Performance Computing Center zu Barcelona (Spuenien) ass nach net offiziell bestätegt.
Ännerungen
, datt zwee béiswëlleg ausführbar Dateien op déi kompromittéiert Server erofgeluede goufen, fir déi de suid Root Fändel gesat gouf: "/etc/fonts/.fonts" an "/etc/fonts/.low". Déi éischt ass e Bootloader fir Shellbefehle mat Root-Privilegien auszeféieren, an déi zweet ass e Logreiniger fir Spuere vun Attackeraktivitéit ze läschen. Verschidde Technike goufen benotzt fir béiswëlleg Komponenten ze verstoppen, dorënner d'Installatioun vun engem Rootkit. , gelueden als Modul fir de Linux Kernel. An engem Fall war de Biergbau Prozess nëmmen an der Nuecht ugefaangen, fir net Opmierksamkeet ze lackele.
Eemol gehackt, konnt de Host benotzt ginn fir verschidden Aufgaben auszeféieren, wéi zum Beispill Monero (XMR) Mining, e Proxy auszeféieren (fir mat anere Mininghosten ze kommunizéieren an de Server deen de Mining koordinéiert), e MicroSOCKS-baséiert SOCKS Proxy auszeféieren (fir extern ze akzeptéieren Verbindungen iwwer SSH) an SSH Forwarding (de primäre Punkt vun der Pénétratioun mat engem kompromittéierte Kont op deem en Adressiwwersetzer konfiguréiert ass fir d'Forwarding an den internen Netzwierk). Wann Dir mat kompromittéierten Hosten verbënnt, hunn Ugräifer Hosten mat SOCKS Proxyen benotzt an typesch duerch Tor oder aner kompromittéiert Systemer verbonne sinn.
Source: opennet.ru