Их Британи, Герман, Швейцарь, Испани дахь суперкомпьютерийн төвүүдэд байрладаг хэд хэдэн том тооцооллын кластеруудад, Монеро (XMR) криптовалютыг далд олборлоход зориулж дэд бүтцийг хакердаж, хортой програм суулгасны ул мөр. Үйл явдлын нарийвчилсан дүн шинжилгээ хараахан гараагүй байгаа боловч урьдчилсан мэдээллээр кластерт даалгавруудыг гүйцэтгэх боломжтой байсан судлаачдын системээс итгэмжлэл хулгайлагдсаны үр дүнд системүүд эвдэрсэн (сүүлийн үед олон кластерууд SARS-CoV-2 коронавирусыг судалж, COVID-19 халдвартай холбоотой үйл явцын загварчлалыг хийж буй гуравдагч талын судлаачид). Тохиолдлуудын аль нэгэнд нь кластерт нэвтрэх эрхийг олж авсны дараа халдагчид эмзэг байдлыг ашигласан. root хандалт авах, rootkit суулгахын тулд Linux цөмд.
Халдагчид Краковын Их Сургууль (Польш), Шанхайн Тээврийн Их Сургууль (Хятад) болон Хятадын Шинжлэх Ухааны Сүлжээний хэрэглэгчдийн хураан авсан итгэмжлэлүүдийг ашигласан хоёр тохиолдол. Олон улсын судалгааны хөтөлбөрт оролцогчдоос итгэмжлэлүүдийг авч, SSH-ээр дамжуулан кластерт холбогдоход ашигласан. Итгэмжлэх жуух бичгүүдийг яг хэрхэн олж авсан нь хараахан тодорхойгүй байгаа ч нууц үг алдагдсаны хохирогчдын зарим системд (бүгд биш) хуурамч SSH гүйцэтгэх файлууд илэрсэн байна.
Үүний үр дүнд халдагч нар Их Британид төвтэй (Эдинбургийн их сургууль) кластерт нэвтрэх , Топ 334 том суперкомпьютерийн 500-т жагссан. Дараа нь ижил төстэй нэвтрэлтүүд байсан кластеруудад bwUniCluster 2.0 (Карлсруэ Технологийн Хүрээлэн, Герман), ForHLR II (Karlsruhe Технологийн Институт, Герман), bwForCluster JUSTUS (Ульмын Их Сургууль, Герман), bwForCluster BinAC (Тюбингений Их Сургууль, ХБНГУ) болон Hawk (Штутгартын Их Сургууль) Герман).
Кластерын аюулгүй байдлын ослын талаарх мэдээлэл (CSCS), ( шилдэг 500-д), (Герман) ба (, и Топ 500-д багтсан газрууд). Үүнээс гадна ажилчдаас Барселон (Испани) дахь Өндөр гүйцэтгэлтэй тооцоолох төвийн дэд бүтцийн эвдрэлийн талаарх мэдээлэл хараахан албан ёсоор батлагдаагүй байна.
өөрчлөлтүүд
, "/etc/fonts/.fonts" болон "/etc/fonts/.low" гэсэн үндсэн тугийг тохируулсан эвдэрсэн серверүүд рүү хоёр хортой гүйцэтгэх файлыг татаж авсан. Эхнийх нь root эрхтэй бүрхүүлийн командуудыг ажиллуулах ачаалагч, хоёр дахь нь халдагчийн үйл ажиллагааны ул мөрийг арилгах лог цэвэрлэгч юм. Хортой бүрэлдэхүүн хэсгүүдийг нуухын тулд rootkit суулгах зэрэг янз бүрийн арга техникийг ашигласан. , Линукс цөмд зориулсан модуль болгон ачаалагдсан. Анхны анхаарлыг татахгүйн тулд зөвхөн шөнийн цагаар олборлолт явуулж эхэлсэн тохиолдол бий.
Хакердсаны дараа хостыг Monero (XMR) олборлох, прокси ажиллуулах (бусад уурхайн хостууд болон олборлолтыг зохицуулдаг сервертэй харилцах), microSOCKS-д суурилсан SOCKS прокси ажиллуулах (гадаад хүлээн авах) гэх мэт янз бүрийн ажлыг гүйцэтгэхэд ашиглаж болно. SSH-ээр дамжуулан холболтууд) болон SSH дамжуулалт (дотоод сүлжээнд дамжуулахаар хаягийн орчуулагч тохируулагдсан нууцлагдсан акаунтыг ашиглан нэвтрэх үндсэн цэг). Эвдэрсэн хостуудтай холбогдох үед халдагчид SOCKS прокси бүхий хостуудыг ашигладаг бөгөөд ихэвчлэн Tor эсвэл бусад эвдэрсэн системээр холбогддог.
Эх сурвалж: opennet.ru