ယူကေ၊ ဂျာမနီ၊ ဆွစ်ဇာလန်နှင့် စပိန်ရှိ စူပါကွန်ပြူတာစင်တာများတွင် တည်ရှိသော ကြီးမားသော ကွန်ပျူတာအစုအဝေးကြီးများတွင်၊ Monero (XMR) cryptocurrency ၏ လျှို့ဝှက်တူးဖော်မှုအတွက် အခြေခံအဆောက်အအုံ ဟက်ကာနှင့် malware တပ်ဆင်မှု ခြေရာများ။ အဖြစ်အပျက်များ၏ အသေးစိတ်ခွဲခြမ်းစိတ်ဖြာမှုအား မရရှိနိုင်သေးသော်လည်း ပဏာမဒေတာအရ၊ အစုအဖွဲ့များအတွင်း အလုပ်များကို လုပ်ဆောင်ရန် ဝင်ရောက်နိုင်ခဲ့သော သုတေသီများ၏ စနစ်များမှ အထောက်အထားများ ခိုးယူခံရခြင်းကြောင့် စနစ်များကို ထိခိုက်နိုင်သည် (မကြာသေးမီက၊ များစွာသော အစုအဖွဲ့များသည် ဝင်ရောက်ခွင့်ကို ပေးစွမ်းနိုင်ခဲ့သည်။ Third-party သုတေသီများသည် SARS-CoV-2 ကိုရိုနာဗိုင်းရပ်ကို လေ့လာပြီး COVID-19 ကူးစက်မှုနှင့်ဆက်စပ်သည့် လုပ်ငန်းစဉ်ပုံစံကို လုပ်ဆောင်နေသည်)။ အမှုတွဲတစ်ခုတွင် အစုအဝေးသို့ ဝင်ရောက်ခွင့်ရပြီးနောက်၊ တိုက်ခိုက်သူများသည် အားနည်းချက်ကို အသုံးချခဲ့သည်။ root access ရရှိရန်နှင့် rootkit ကိုထည့်သွင်းရန် Linux kernel တွင်။
တိုက်ခိုက်သူများသည် Krakow (ပိုလန်တက္ကသိုလ်)၊ Shanghai Transport University (China) နှင့် Chinese Scientific Network တို့မှ အသုံးပြုသူများထံမှ ဖမ်းယူရရှိထားသော အထောက်အထားများကို အသုံးပြုသည့် ဖြစ်ရပ်နှစ်ခုဖြစ်သည်။ နိုင်ငံတကာ သုတေသနပရိုဂရမ်များတွင် ပါဝင်သူများထံမှ အထောက်အထားများကို ဖမ်းယူပြီး SSH မှတစ်ဆင့် အစုအဖွဲ့များနှင့် ချိတ်ဆက်ရန် အသုံးပြုပါသည်။ အထောက်အထားများကို မည်ကဲ့သို့ ဖမ်းယူခဲ့သည်ကို အတိအကျ မသိရသေးသော်လည်း စကားဝှက်ပေါက်ကြားမှု၏ သားကောင်အချို့ (အားလုံးမဟုတ်) စနစ်များတွင် အယောင်ဆောင်ထားသော SSH စီမံလုပ်ဆောင်နိုင်သော ဖိုင်များကို တွေ့ရှိခဲ့သည်။
ထို့ကြောင့် တိုက်ခိုက်သူများ၊ UK အခြေစိုက် (University of Edinburgh) အစုအဝေးသို့ ဝင်ရောက်ပါ။ Top 334 အကြီးဆုံးစူပါကွန်ပျူတာများတွင် အဆင့် 500 ရှိသည်။ အလားတူ ထိုးဖောက်ဝင်ရောက်မှုတွေလည်း ရှိခဲ့ပါတယ်။ အစုအဝေးများတွင် bwUniCluster 2.0 (Karlsruhe Institute of Technology, Germany), ForHLR II (Karlsruhe Institute of Technology, Germany), bwForCluster JUSTUS (Ulm University, Germany), bwForCluster BinAC (Tübingen, Germany) နှင့် Hawk (University of Stutt)၊ ဂျာမနီ)။
အစုအဖွဲ့လုံခြုံရေး ဖြစ်ရပ်များအကြောင်း အချက်အလက် (CSCS)၊ ( top500 တွင်) (ဂျာမနီ)နှင့် (, и Top500 ရှိနေရာများ)။ ထို့အပြင် ဝန်ထမ်းများထံမှ သိရသည်။ ဘာစီလိုနာ (စပိန်) ရှိ High Performance Computing Center ၏ အခြေခံအဆောက်အအုံဆိုင်ရာ အပေးအယူနှင့် ပတ်သက်သည့် အချက်အလက်များကို တရားဝင် အတည်ပြုနိုင်ခြင်း မရှိသေးပါ။
အပြောင်းအလဲများ
suid root အလံကို သတ်မှတ်ခဲ့သည့်အတွက် အန္တရာယ်ရှိသော စီစဥ်ရေးဖိုင်နှစ်ခုကို အပေးအယူလုပ်ထားသော ဆာဗာများသို့ ဒေါင်းလုဒ်လုပ်ထားသည်- “/etc/fonts/.fonts” နှင့် “/etc/fonts/.low”။ ပထမတစ်ခုသည် root အခွင့်ထူးများဖြင့် shell command များကိုလုပ်ဆောင်ရန်အတွက် bootloader ဖြစ်ပြီး၊ ဒုတိယမှာ attacker ၏လုပ်ဆောင်မှုခြေရာများကိုဖယ်ရှားရန်အတွက် log cleaner ဖြစ်သည်။ rootkit တပ်ဆင်ခြင်းအပါအဝင် အန္တရာယ်ရှိသော အစိတ်အပိုင်းများကို ဖုံးကွယ်ရန် နည်းလမ်းအမျိုးမျိုးကို အသုံးပြုထားသည်။ Linux kernel အတွက် module တစ်ခုအနေဖြင့် တင်ထားသည်။ ကိစ္စတစ်ခုတွင်၊ သတ္တုတွင်းလုပ်ငန်းကို အာရုံစူးစိုက်မှုမခံရစေရန် ညအချိန်တွင်သာ စတင်ခဲ့သည်။
ဟက်ခ်ခံရပြီးသည်နှင့်၊ သတ္တုတူးဖော်ခြင်း Monero (XMR)၊ ပရောက်စီကို လုပ်ဆောင်ခြင်း (အခြားသတ္တုတွင်း host များနှင့် သတ္တုတူးဖော်ခြင်းအား ညှိနှိုင်းဆောင်ရွက်ပေးသည့် ဆာဗာနှင့် ဆက်သွယ်ရန်)၊ microSOCKS-based SOCKS ပရောက်စီကို လုပ်ဆောင်ခြင်းကဲ့သို့သော လုပ်ငန်းအမျိုးမျိုးကို လုပ်ဆောင်ရန် အိမ်ရှင်အား အသုံးပြုနိုင်သည်။ SSH မှတဆင့်ချိတ်ဆက်မှုများ) နှင့် SSH ထပ်ဆင့်ပို့ခြင်း (အတွင်းပိုင်းကွန်ရက်သို့ ပေးပို့ခြင်းအတွက် လိပ်စာဘာသာပြန်သူအား ပြင်ဆင်သတ်မှတ်ထားသည့် အပေးအယူရှိသောအကောင့်ကို အသုံးပြု၍ ထိုးဖောက်ဝင်ရောက်မှု၏ အဓိကအချက်)။ အပေးအယူခံရသော host များနှင့် ချိတ်ဆက်သောအခါတွင်၊ တိုက်ခိုက်သူများသည် SOCKS proxy ဖြင့် host များကိုအသုံးပြုပြီး ပုံမှန်အားဖြင့် Tor သို့မဟုတ် အခြားအပေးအယူလုပ်ထားသောစနစ်များမှတဆင့် ချိတ်ဆက်ထားသည်။
source: opennet.ru