Keliose didelėse skaičiavimo grupėse, esančiose superkompiuterių centruose JK, Vokietijoje, Šveicarijoje ir Ispanijoje, infrastruktūros įsilaužimo pėdsakai ir kenkėjiškų programų, skirtų paslėptam Monero (XMR) kriptovaliutos kasimui, įdiegimas. Išsamios incidentų analizės kol kas nėra, tačiau, preliminariais duomenimis, sistemos buvo pažeistos, kai buvo pavogti kredencialai iš tyrėjų, kurie turėjo prieigą vykdyti užduotis klasteriuose, sistemų (pastaruoju metu daugelis grupių suteikia prieigą prie trečiųjų šalių mokslininkai, tyrinėjantys SARS-CoV-2 koronavirusą ir modeliuojantys procesą, susijusį su COVID-19 infekcija). Vienu iš atvejų gavę prieigą prie klasterio, užpuolikai pasinaudojo pažeidžiamumu Linux branduolyje, kad gautumėte root prieigą ir įdiegtumėte rootkit.
du incidentai, per kuriuos užpuolikai panaudojo Krokuvos universiteto (Lenkija), Šanchajaus transporto universiteto (Kinija) ir Kinijos mokslinio tinklo naudotojų kredencialus. Kredencialai buvo paimti iš tarptautinių tyrimų programų dalyvių ir naudojami prisijungti prie grupių per SSH. Kaip tiksliai buvo užfiksuoti kredencialai, kol kas neaišku, tačiau kai kuriose sistemose (ne visose) nuo slaptažodžio nutekėjimo aukų buvo aptikti suklastoti SSH vykdomieji failai.
Dėl to užpuolikai prieiga prie JK įsikūrusio (Edinburgo universiteto) klasterio , užėmė 334 vietą Top500 didžiausių superkompiuterių. Po panašių įsiskverbimų buvo klasteriuose: bwUniCluster 2.0 (Karlsruhe technologijos institutas, Vokietija), ForHLR II (Karlsruhe technologijos institutas, Vokietija), bwForCluster JUSTUS (Ulmo universitetas, Vokietija), bwForCluster BinAC (Tiubingeno universitetas, Vokietija) ir Hawk (Štutgarto universitetas, Vokietija).
Informacija apie klasterio saugumo incidentus (CSCS), ( 500 geriausių) (Vokietija) ir (, и vietas Top500). Be to, iš darbuotojų informacija apie Barselonos (Ispanija) didelio našumo skaičiavimo centro infrastruktūros kompromisą kol kas oficialiai nepatvirtinta.
pokyčiai
, kad į pažeistus serverius buvo atsisiųsti du kenkėjiški vykdomieji failai, kuriems nustatyta suid šakninė vėliavėlė: „/etc/fonts/.fonts“ ir „/etc/fonts/.low“. Pirmasis yra įkrovos įkroviklis, skirtas paleisti apvalkalo komandas su root teisėmis, o antrasis - žurnalų valiklis, skirtas pašalinti užpuoliko veiklos pėdsakus. Kenkėjiškiems komponentams paslėpti buvo naudojami įvairūs būdai, įskaitant rootkit įdiegimą. , įkeltas kaip „Linux“ branduolio modulis. Vienu atveju kasybos procesas buvo pradėtas tik naktį, kad nebūtų atkreiptas dėmesys.
Įsilaužęs pagrindinis kompiuteris gali būti naudojamas įvairioms užduotims atlikti, pvz., Monero kasybai (XMR), tarpinio serverio paleidimui (bendravimui su kitais kasybos pagrindais ir kasybą koordinuojančiu serveriu), microSOCKS pagrindu veikiančio SOCKS tarpinio serverio paleidimui (išoriniam serveriui priimti). ryšiai per SSH) ir SSH persiuntimas (pirminis įsiskverbimo taškas naudojant pažeistą paskyrą, kurioje buvo sukonfigūruotas adresų vertėjas persiuntimui į vidinį tinklą). Prisijungdami prie pažeistų pagrindinių kompiuterių, užpuolikai naudojo pagrindinius kompiuterius su SOCKS tarpiniais serveriais ir paprastai prisijungdavo per „Tor“ ar kitas pažeistas sistemas.
Šaltinis: opennet.ru