I flere store dataklynger lokalisert i superdatasentre i Storbritannia, Tyskland, Sveits og Spania, spor av hacking av infrastruktur og installasjon av skadelig programvare for skjult utvinning av kryptovalutaen Monero (XMR). En detaljert analyse av hendelsene er ennå ikke tilgjengelig, men ifølge foreløpige data ble systemene kompromittert som følge av tyveri av legitimasjon fra systemene til forskere som hadde tilgang til å kjøre oppgaver i klynger (nylig har mange klynger gitt tilgang til tredjepartsforskere som studerer SARS-CoV-2-koronaviruset og utfører prosessmodellering assosiert med COVID-19-infeksjon). Etter å ha fått tilgang til klyngen i ett av tilfellene, utnyttet angriperne sårbarheten i Linux-kjernen for å få root-tilgang og installere et rootkit.
to hendelser der angripere brukte legitimasjon tatt fra brukere fra Universitetet i Krakow (Polen), Shanghai Transport University (Kina) og Chinese Science Network. Legitimasjon ble hentet fra deltakere i internasjonale forskningsprogrammer og brukt til å koble til klynger via SSH. Hvordan nøyaktig legitimasjonen ble fanget er ennå ikke klart, men på noen systemer (ikke alle) av ofrene for passordlekkasjen, ble falske SSH-kjørbare filer identifisert.
Som et resultat, angriperne tilgang til den UK-baserte (University of Edinburgh) klyngen , rangert på 334. plass blant de 500 største superdatamaskinene. Følgende lignende penetrasjoner var i klyngene bwUniCluster 2.0 (Karlsruhe Institute of Technology, Tyskland), ForHLR II (Karlsruhe Institute of Technology, Tyskland), bwForCluster JUSTUS (Ulm University, Tyskland), bwForCluster BinAC (University of Tübingen, Tyskland) og Hawk (University of Stuttgart, Tyskland).
Informasjon om klyngesikkerhetshendelser i (CSCS), ( på topp 500), (Tyskland) og (, и plass på topp 500). I tillegg fra ansatte informasjon om kompromitteringen av infrastrukturen til High Performance Computing Center i Barcelona (Spania) er ennå ikke offisielt bekreftet.
Endringer
, at to ondsinnede kjørbare filer ble lastet ned til de kompromitterte serverne, som suid-rotflagget ble satt for: "/etc/fonts/.fonts" og "/etc/fonts/.low". Den første er en bootloader for å kjøre skallkommandoer med root-privilegier, og den andre er en loggrenser for å fjerne spor etter angriperaktivitet. Ulike teknikker har blitt brukt for å skjule skadelige komponenter, inkludert installasjon av et rootkit. , lastet som en modul for Linux-kjernen. I ett tilfelle ble gruveprosessen startet bare om natten, for ikke å tiltrekke oppmerksomhet.
Når den er blitt hacket, kan verten brukes til å utføre forskjellige oppgaver, for eksempel gruvedrift av Monero (XMR), kjøre en proxy (for å kommunisere med andre gruveverter og serveren som koordinerer gruvedriften), kjøre en microSOCKS-basert SOCKS proxy (for å akseptere ekstern tilkoblinger via SSH) og SSH-videresending (det primære punktet for penetrering ved bruk av en kompromittert konto som en adresseoversetter ble konfigurert for videresending til det interne nettverket). Når de koblet til kompromitterte verter, brukte angripere verter med SOCKS-proxyer og koblet vanligvis gjennom Tor eller andre kompromitterte systemer.
Kilde: opennet.ru