F'diversi clusters kbar tal-kompjuters li jinsabu f'ċentri tas-supercomputing fir-Renju Unit, il-Ġermanja, l-Isvizzera u Spanja, traċċi ta 'hacking infrastrutturali u installazzjoni ta' malware għall-minjieri moħbi tal-munita kripto Monero (XMR). Analiżi dettaljata tal-inċidenti għadha mhix disponibbli, iżda skont dejta preliminari, is-sistemi ġew kompromessi bħala riżultat tas-serq ta’ kredenzjali mis-sistemi ta’ riċerkaturi li kellhom aċċess biex imexxu l-kompiti fi gruppi (riċentement, ħafna raggruppamenti jipprovdu aċċess għal riċerkaturi ta’ partijiet terzi li jistudjaw il-koronavirus tas-SARS-CoV-2 u jwettqu mudellar tal-proċess assoċjat mal-infezzjoni COVID-19). Wara li kisbu aċċess għall-cluster f'wieħed mill-każijiet, l-attakkanti sfruttaw il-vulnerabbiltà fil-qalba tal-Linux biex tikseb aċċess għall-għeruq u tinstalla rootkit.
żewġ inċidenti li fihom attakkanti użaw kredenzjali maqbuda minn utenti mill-Università ta’ Krakovja (il-Polonja), l-Università tat-Trasport ta’ Shanghai (Ċina) u n-Netwerk tax-Xjenza Ċiniża. Il-kredenzjali nqabdu minn parteċipanti fi programmi ta' riċerka internazzjonali u ntużaw biex jgħaqqdu ma' clusters permezz ta' SSH. Kif eżattament inqabdu l-kredenzjali għadu mhux ċar, iżda fuq xi sistemi (mhux kollha) tal-vittmi tat-tnixxija tal-password, ġew identifikati fajls eżekutibbli SSH spoofed.
Bħala riżultat, l-attakkanti aċċess għall-cluster ibbażat fir-Renju Unit (l-Università ta’ Edinburgh). , ikklassifikat fit-334 post fl-aqwa 500 superkompjuters. Wara penetrazzjonijiet simili kienu fir-raggruppamenti bwUniCluster 2.0 (Karlsruhe Institute of Technology, il-Ġermanja), ForHLR II (Karlsruhe Institute of Technology, il-Ġermanja), bwForCluster JUSTUS (Università ta’ Ulm, Ġermanja), bwForCluster BinAC (Università ta’ Tübingen, Ġermanja) u Hawk (Università ta’ Stuttgart, il-Ġermanja).
Informazzjoni dwar inċidenti tas-sigurtà tal-clusters fi (CSCS), ( fl-aqwa500), (il-Ġermanja) u (, и postijiet fil-Top500). Barra minn hekk, mill-impjegati informazzjoni dwar il-kompromess tal-infrastruttura taċ-Ċentru tal-Kompjuter ta' Prestazzjoni Għolja f'Barċellona (Spanja) għadha ma ġietx ikkonfermata uffiċjalment.
bidliet
, li żewġ fajls eżekutibbli malizzjużi ġew imniżżla fis-servers kompromessi, li għalihom ġiet issettjata l-bandiera tal-għerq suid: "/etc/fonts/.fonts" u "/etc/fonts/.low". L-ewwel huwa bootloader għat-tmexxija ta 'kmandi tal-qoxra bi privileġġi tal-għeruq, u t-tieni huwa log cleaner biex jitneħħew traċċi ta' attività tal-attakkant. Intużaw diversi tekniki biex jaħbu komponenti malizzjużi, inkluż l-installazzjoni ta 'rootkit. , mgħobbija bħala modulu għall-qalba tal-Linux. F'każ wieħed, il-proċess tat-tħaffir inbeda biss bil-lejl, sabiex ma jiġbed l-attenzjoni.
Ladarba hacked, l-host jista 'jintuża biex iwettaq diversi kompiti, bħall-minjieri Monero (XMR), imexxi prokura (biex tikkomunika ma' hosts oħra tal-minjieri u s-server li jikkoordina l-minjieri), imexxi proxy SOCKS ibbażat fuq microSOCKS (biex jaċċetta esterni konnessjonijiet permezz SSH) u SSH forwarding (il-punt primarju ta’ penetrazzjoni bl-użu ta’ kont kompromess li fuqu ġie kkonfigurat traduttur ta’ indirizzi biex jintbagħat lin-netwerk intern). Meta kkonnettjaw ma 'hosts kompromessi, l-attakkanti użaw hosts bi proxy SOCKS u tipikament konnessi permezz ta' Tor jew sistemi oħra kompromessi.
Sors: opennet.ru