Dalam beberapa kelompok pengkomputeran besar yang terletak di pusat pengkomputeran super di UK, Jerman, Switzerland dan Sepanyol, kesan penggodaman infrastruktur dan pemasangan perisian hasad untuk perlombongan tersembunyi mata wang kripto Monero (XMR). Analisis terperinci tentang insiden masih belum tersedia, tetapi menurut data awal, sistem telah terjejas akibat pencurian bukti kelayakan daripada sistem penyelidik yang mempunyai akses untuk menjalankan tugas dalam kelompok (baru-baru ini, banyak kelompok menyediakan akses kepada penyelidik pihak ketiga mengkaji coronavirus SARS-CoV-2 dan menjalankan pemodelan proses yang dikaitkan dengan jangkitan COVID-19). Selepas mendapat akses kepada kluster dalam salah satu kes, penyerang mengeksploitasi kelemahan dalam kernel Linux untuk mendapatkan akses root dan memasang rootkit.
dua insiden di mana penyerang menggunakan bukti kelayakan yang ditangkap daripada pengguna dari Universiti Krakow (Poland), Universiti Pengangkutan Shanghai (China) dan Rangkaian Saintifik China. Bukti kelayakan telah ditangkap daripada peserta dalam program penyelidikan antarabangsa dan digunakan untuk menyambung ke kluster melalui SSH. Bagaimana tepatnya bukti kelayakan ditangkap masih belum jelas, tetapi pada beberapa sistem (bukan semua) mangsa kebocoran kata laluan, fail boleh laku SSH yang dipalsukan telah dikesan.
Akibatnya, penyerang akses kepada kluster (University of Edinburgh) yang berpangkalan di UK , menduduki tempat ke-334 dalam Top500 superkomputer terbesar. Berikutan penembusan serupa adalah dalam kelompok bwUniCluster 2.0 (Institut Teknologi Karlsruhe, Jerman), ForHLR II (Institut Teknologi Karlsruhe, Jerman), bwForCluster JUSTUS (Ulm University, Jerman), bwForCluster BinAC (Universiti TΓΌbingen, Jerman) dan Hawk (Universiti Stuttgart, Jerman).
Maklumat tentang insiden keselamatan kelompok di (CSCS), ( dalam 500 teratas), (Jerman) dan (, ΠΈ tempat dalam Top500). Selain itu, daripada pekerja maklumat mengenai kompromi infrastruktur Pusat Pengkomputeran Berprestasi Tinggi di Barcelona (Sepanyol) masih belum disahkan secara rasmi.
perubahan
, bahawa dua fail boleh laku berniat jahat telah dimuat turun ke pelayan yang terjejas, yang bendera akar suid telah ditetapkan: β/etc/fonts/.fontsβ dan β/etc/fonts/.lowβ. Yang pertama ialah pemuat but untuk menjalankan perintah shell dengan keistimewaan root, dan yang kedua ialah pembersih log untuk mengalih keluar kesan aktiviti penyerang. Pelbagai teknik telah digunakan untuk menyembunyikan komponen berniat jahat, termasuk memasang rootkit. , dimuatkan sebagai modul untuk kernel Linux. Dalam satu kes, proses perlombongan dimulakan hanya pada waktu malam, supaya tidak menarik perhatian.
Setelah digodam, hos boleh digunakan untuk melaksanakan pelbagai tugas, seperti melombong Monero (XMR), menjalankan proksi (untuk berkomunikasi dengan hos perlombongan lain dan pelayan menyelaraskan perlombongan), menjalankan proksi SOCKS berasaskan microSOCKS (untuk menerima luaran sambungan melalui SSH) dan pemajuan SSH (titik penembusan utama menggunakan akaun yang terjejas di mana penterjemah alamat telah dikonfigurasikan untuk pemajuan ke rangkaian dalaman). Apabila menyambung kepada hos yang terjejas, penyerang menggunakan hos dengan proksi SOCKS dan biasanya disambungkan melalui Tor atau sistem lain yang terjejas.
Sumber: opennet.ru