Vairākos lielos skaitļošanas klasteros, kas atrodas superskaitļošanas centros Apvienotajā Karalistē, Vācijā, Šveicē un Spānijā, infrastruktūras uzlaušanas pēdas un ļaunprātīgas programmatūras instalēšana slēptās Monero (XMR) kriptovalūtas ieguvei. Detalizēta incidentu analīze vēl nav pieejama, taču saskaņā ar provizoriskiem datiem sistēmas tika apdraudētas, jo tika nozagti akreditācijas dati no pētnieku sistēmām, kuriem bija piekļuve uzdevumu izpildei klasteros (pēdējā laikā daudzi klasteri nodrošina piekļuvi trešās puses pētnieki, kas pēta SARS-CoV-2 koronavīrusu un veic ar COVID-19 infekciju saistīto procesu modelēšanu). Pēc piekļuves klasterim vienā no gadījumiem uzbrucēji izmantoja ievainojamību Linux kodolā, lai iegūtu saknes piekļuvi un instalētu rootkit.
divi incidenti, kuros uzbrucēji izmantoja akreditācijas datus, kas iegūti no Krakovas Universitātes (Polija), Šanhajas Transporta universitātes (Ķīna) un Ķīnas Zinātnes tīkla lietotājiem. Akreditācijas dati tika iegūti no starptautisko pētniecības programmu dalībniekiem un izmantoti, lai izveidotu savienojumu ar kopām, izmantojot SSH. Pagaidām nav skaidrs, kā tieši tika iegūti akreditācijas dati, taču dažās (ne visās) paroles noplūdes upuru sistēmās tika identificēti viltoti SSH izpildāmie faili.
Rezultātā uzbrucēji piekļuve Apvienotajā Karalistē (Edinburgas Universitātes) klasterim , ieņem 334. vietu Top500 lielāko superdatoru sarakstā. Pēc līdzīgiem iespiešanās bija klasteros bwUniCluster 2.0 (Karlsrūes Tehnoloģiju institūts, Vācija), ForHLR II (Karlsrūes Tehnoloģiju institūts, Vācija), bwForCluster JUSTUS (Ulmas Universitāte, Vācija), bwForCluster BinAC (Tībingenes Universitāte, Vācija) un Hawk (Štutgartes Universitāte, Vācija).
Informācija par klasteru drošības incidentiem (CSCS), ( top500) (Vācija) un (, и vietas Top500). Turklāt no darbiniekiem informācija par Barselonas (Spānija) Augstas veiktspējas skaitļošanas centra infrastruktūras kompromitēšanu vēl nav oficiāli apstiprināta.
izmaiņas
, ka apdraudētajos serveros tika lejupielādēti divi ļaunprātīgi izpildāmi faili, kuriem tika iestatīts suid saknes karogs: “/etc/fonts/.fonts” un “/etc/fonts/.low”. Pirmais ir sāknēšanas ielādētājs čaulas komandu palaišanai ar root tiesībām, bet otrais ir žurnālu tīrītājs uzbrucēju darbības pēdu noņemšanai. Ļaunprātīgu komponentu slēpšanai ir izmantotas dažādas metodes, tostarp rootkit instalēšana. , ielādēts kā Linux kodola modulis. Vienā gadījumā ieguves process sākts tikai naktī, lai nepiesaistītu uzmanību.
Kad resursdators ir uzlauzts, to var izmantot dažādu uzdevumu veikšanai, piemēram, Monero ieguvei (XMR), starpniekservera palaišanai (lai sazinātos ar citiem ieguves resursdatoriem un serveri, kas koordinē ieguvi), uz microSOCKS balstīta SOCKS starpniekservera palaišanai (lai pieņemtu ārējos savienojumi, izmantojot SSH) un SSH pārsūtīšana (primārais iespiešanās punkts, izmantojot apdraudētu kontu, kurā tika konfigurēts adrešu tulks pārsūtīšanai uz iekšējo tīklu). Veidojot savienojumu ar apdraudētiem saimniekdatoriem, uzbrucēji izmantoja saimniekdatorus ar SOCKS starpniekserveriem un parasti tika savienoti, izmantojot Tor vai citas apdraudētas sistēmas.
Avots: opennet.ru