क्रिप्टोकरेन्सी खननका लागि सुपर कम्प्युटर ह्याक्सको लहर

यूके, जर्मनी, स्विट्जरल्याण्ड र स्पेनका सुपरकम्प्युटिङ केन्द्रहरूमा अवस्थित धेरै ठूला कम्प्युटिङ क्लस्टरहरूमा, पहिचान गरियो मोनेरो (XMR) क्रिप्टोकरन्सीको लुकेको खननका लागि पूर्वाधार ह्याकिङ र मालवेयरको स्थापनाको निशान। घटनाहरूको विस्तृत विश्लेषण अझै उपलब्ध छैन, तर प्रारम्भिक तथ्याङ्कका अनुसार, क्लस्टरहरूमा कार्यहरू चलाउन पहुँच गर्ने अनुसन्धानकर्ताहरूको प्रणालीबाट प्रमाणहरू चोरीको परिणामको रूपमा प्रणालीहरूमा सम्झौता भएको थियो (हालसालै, धेरै क्लस्टरहरूले पहुँच प्रदान गर्दछ। तेस्रो-पक्ष अनुसन्धानकर्ताहरू SARS-CoV-2 कोरोनाभाइरसको अध्ययन गर्दै र COVID-19 संक्रमणसँग सम्बन्धित प्रक्रिया मोडेलिङ सञ्चालन गर्दै)। एउटा मामिलामा क्लस्टरमा पहुँच प्राप्त गरेपछि, आक्रमणकारीहरूले जोखिमको शोषण गरे CVE-2019-15666 रूट पहुँच प्राप्त गर्न र रूटकिट स्थापना गर्न लिनक्स कर्नेलमा।

बाहिर खडा दुई घटना जसमा आक्रमणकारीहरूले क्राको विश्वविद्यालय (पोल्याण्ड), सांघाई यातायात विश्वविद्यालय (चीन) र चिनियाँ विज्ञान नेटवर्कका प्रयोगकर्ताहरूबाट कब्जा गरिएका प्रमाणहरू प्रयोग गरे। अन्तर्राष्ट्रिय अनुसन्धान कार्यक्रमहरूमा सहभागीहरूबाट प्रमाणहरू क्याप्चर गरियो र SSH मार्फत क्लस्टरहरूमा जडान गर्न प्रयोग गरियो। प्रमाणहरू कसरी क्याप्चर गरियो भन्ने कुरा अझै स्पष्ट छैन, तर पासवर्ड लीकका पीडितहरूका केही प्रणालीहरूमा (सबै होइन), नक्कली SSH कार्यान्वयनयोग्य फाइलहरू पहिचान गरियो।

फलस्वरूप, आक्रमणकारीहरू गर्न सक्षम थिए प्राप्त गर्नु युके-आधारित (युनिभर्सिटी अफ एडिनबर्ग) क्लस्टरमा पहुँच आर्चर, शीर्ष 334 सबैभन्दा ठूलो सुपर कम्प्युटरहरूमा 500 औं स्थानमा। पछ्याउने समान प्रवेशहरू थिए पहिचान गरियो क्लस्टरहरूमा bwUniCluster 2.0 (Karlsruhe Institute of Technology, Germany), ForHLR II (Karlsruhe Institute of Technology, Germany), bwForCluster JUSTUS (Ulm University, Germany), bwForCluster BinAC (युनिभर्सिटी अफ ट्युबिन्जेन, जर्मनी) र स्टुटुगर, हकको विश्वविद्यालय। जर्मनी)।
मा क्लस्टर सुरक्षा घटनाहरु बारे जानकारी स्विट्जरल्याण्डको राष्ट्रिय सुपर कम्प्युटर केन्द्र (CSCS), जुलिच अनुसन्धान केन्द्र (31 ठाँउ शीर्ष 500 मा), म्यूनिख विश्वविद्यालय (जर्मनी) र Leibniz कम्प्युटर केन्द्र (9, 85 и 86 शीर्ष 500 मा स्थानहरू)। साथै, कर्मचारीहरु बाट प्राप्त भयो बार्सिलोना (स्पेन) मा उच्च प्रदर्शन कम्प्युटिङ केन्द्रको पूर्वाधारको सम्झौताको बारेमा जानकारी अझै आधिकारिक रूपमा पुष्टि गरिएको छैन।

Анализ परिवर्तन
देखियो, कि दुई मालिसियस कार्यान्वयनयोग्य फाइलहरू सम्झौता गरिएका सर्भरहरूमा डाउनलोड गरिएका थिए, जसको लागि suid मूल झण्डा सेट गरिएको थियो: "/etc/fonts/.fonts" र "/etc/fonts/.low"। पहिलो रूट विशेषाधिकारहरूसँग शेल आदेशहरू चलाउनको लागि बुटलोडर हो, र दोस्रो आक्रमणकर्ता गतिविधिको ट्रेसहरू हटाउन लग क्लीनर हो। रुटकिट स्थापना सहित खराब कम्पोनेन्टहरू लुकाउन विभिन्न प्रविधिहरू प्रयोग गरिएको छ। डायमोर्फिनलिनक्स कर्नेलको लागि मोड्युलको रूपमा लोड गरियो। एक अवस्थामा, खानी प्रक्रिया रातमा मात्र सुरु गरिएको थियो, ताकि ध्यान आकर्षित गर्न को लागी।

एक पटक ह्याक भएपछि, होस्टलाई विभिन्न कार्यहरू गर्न प्रयोग गर्न सकिन्छ, जस्तै खनन मोनेरो (XMR), प्रोक्सी चलाउने (अन्य खानी होस्टहरूसँग सञ्चार गर्न र खनन समन्वय गर्ने सर्भर), माइक्रोसक्स-आधारित SOCKS प्रोक्सी चलाउने (बाह्य स्वीकार गर्न। SSH मार्फत जडानहरू) र SSH फर्वार्डिङ (आन्तरिक नेटवर्कमा फर्वार्ड गर्नको लागि ठेगाना अनुवादक कन्फिगर गरिएको एक सम्झौता खाता प्रयोग गरेर प्रवेशको प्राथमिक बिन्दु)। सम्झौता गरिएका होस्टहरूमा जडान गर्दा, आक्रमणकारीहरूले SOCKS प्रोक्सीहरूसँग होस्टहरू प्रयोग गर्थे र सामान्यतया Tor वा अन्य सम्झौता गरिएका प्रणालीहरू मार्फत जडान गरिएको थियो।

स्रोत: opennet.ru