In verschillende grote computerclusters in supercomputercentra in Groot-Brittannië, Duitsland, Zwitserland en Spanje, sporen van het hacken van de infrastructuur en de installatie van malware voor verborgen mining van de cryptocurrency Monero (XMR). Een gedetailleerde analyse van de incidenten is nog niet beschikbaar, maar volgens voorlopige gegevens zijn de systemen gecompromitteerd als gevolg van de diefstal van inloggegevens van de systemen van onderzoekers die toegang hadden om taken in clusters uit te voeren (de laatste tijd bieden veel clusters toegang tot externe onderzoekers die het SARS-CoV-2-coronavirus bestuderen en procesmodellering uitvoeren die verband houdt met COVID-19-infectie). Nadat in één van de gevallen toegang tot het cluster was verkregen, maakten de aanvallers misbruik van de kwetsbaarheid in de Linux-kernel om root-toegang te krijgen en een rootkit te installeren.
twee incidenten waarbij aanvallers inloggegevens gebruikten die waren buitgemaakt van gebruikers van de Universiteit van Krakau (Polen), Shanghai Transport University (China) en het Chinese Scientific Network. Er werden inloggegevens verzameld van deelnemers aan internationale onderzoeksprogramma's en gebruikt om via SSH verbinding te maken met clusters. Hoe de inloggegevens precies werden buitgemaakt is nog niet duidelijk, maar op sommige systemen (niet alle) van de slachtoffers van het wachtwoordlek werden vervalste uitvoerbare SSH-bestanden gedetecteerd.
Het gevolg is dat de aanvallers toegang tot het in Groot-Brittannië gevestigde (Universiteit van Edinburgh) cluster , gerangschikt op de 334e plaats in de Top 500 van grootste supercomputers. Na soortgelijke penetraties waren in de clusters bwUniCluster 2.0 (Karlsruhe Institute of Technology, Duitsland), ForHLR II (Karlsruhe Institute of Technology, Duitsland), bwForCluster JUSTUS (Ulm Universiteit, Duitsland), bwForCluster BinAC (Universiteit van Tübingen, Duitsland) en Hawk (Universiteit van Stuttgart, Duitsland).
Informatie over clusterbeveiligingsincidenten in (CSCS), ( in de top500), (Duitsland) en (, и plaatsen in de Top500). Daarnaast van medewerkers informatie over het compromis van de infrastructuur van het High Performance Computing Center in Barcelona (Spanje) is nog niet officieel bevestigd.
veranderingen
, dat twee kwaadaardige uitvoerbare bestanden zijn gedownload naar de gecompromitteerde servers, waarvoor de suid root-vlag was ingesteld: “/etc/fonts/.fonts” en “/etc/fonts/.low”. De eerste is een bootloader voor het uitvoeren van shell-opdrachten met rootrechten, en de tweede is een logcleaner voor het verwijderen van sporen van aanvalleractiviteit. Er zijn verschillende technieken gebruikt om kwaadaardige componenten te verbergen, waaronder het installeren van een rootkit. , geladen als een module voor de Linux-kernel. In één geval werd het mijnbouwproces pas 's nachts gestart, om geen aandacht te trekken.
Eenmaal gehackt, kan de host worden gebruikt om verschillende taken uit te voeren, zoals het minen van Monero (XMR), het uitvoeren van een proxy (om te communiceren met andere mining-hosts en de server die de mining coördineert), het uitvoeren van een op microSOCKS gebaseerde SOCKS-proxy (om externe verbindingen via SSH) en SSH-forwarding (het primaire penetratiepunt via een gecompromitteerd account waarop een adresvertaler is geconfigureerd voor het doorsturen naar het interne netwerk). Bij het verbinden met gecompromitteerde hosts gebruikten aanvallers hosts met SOCKS-proxy's en meestal verbonden via Tor of andere gecompromitteerde systemen.
Bron: opennet.ru