W kilku dużych klastrach obliczeniowych zlokalizowanych w centrach superkomputerowych w Wielkiej Brytanii, Niemczech, Szwajcarii i Hiszpanii, ślady włamań do infrastruktury i instalacji złośliwego oprogramowania do ukrytego wydobywania kryptowaluty Monero (XMR). Szczegółowa analiza incydentów nie jest jeszcze dostępna, ale według wstępnych danych do systemów doszło w wyniku kradzieży danych uwierzytelniających z systemów badaczy, którzy mieli dostęp do wykonywania zadań w klastrach (ostatnio wiele klastrów udostępnia zewnętrzni badacze badający koronaawirusa SARS-CoV-2 i prowadzący modelowanie procesów związanych z infekcją COVID-19). W jednym z przypadków napastnicy po uzyskaniu dostępu do klastra wykorzystali tę lukę w jądrze Linuksa, aby uzyskać dostęp do konta root i zainstalować rootkita.
dwa incydenty, w których napastnicy wykorzystali dane uwierzytelniające przechwycone od użytkowników z Uniwersytetu Krakowskiego (Polska), Uniwersytetu Transportowego w Szanghaju (Chiny) i Chińskiej Sieci Naukowej. Od uczestników międzynarodowych programów badawczych pozyskano dane uwierzytelniające i wykorzystano je do łączenia się z klastrami za pośrednictwem protokołu SSH. Nie jest jeszcze jasne, w jaki sposób dokładnie przechwycono dane uwierzytelniające, ale w niektórych (nie wszystkich) systemach ofiar wycieku hasła zidentyfikowano sfałszowane pliki wykonywalne SSH.
W rezultacie napastnicy dostęp do klastra z siedzibą w Wielkiej Brytanii (Uniwersytet w Edynburgu). , na 334. miejscu na liście 500 największych superkomputerów. Po podobnych penetracjach były w klastrach bwUniCluster 2.0 (Instytut Technologiczny w Karlsruhe, Niemcy), ForHLR II (Instytut Technologiczny w Karlsruhe, Niemcy), bwForCluster JUSTUS (Uniwersytet w Ulm, Niemcy), bwForCluster BinAC (Uniwersytet w Tybindze, Niemcy) i Hawk (Uniwersytet w Stuttgarcie, Niemcy).
Informacje o incydentach bezpieczeństwa klastra w (CSCS), ( w top500), (Niemcy) i (, и miejsca w Top500). W dodatku od pracowników informacja o kompromitacji infrastruktury Centrum Obliczeń Wielkiej Skali w Barcelonie (Hiszpania) nie została jeszcze oficjalnie potwierdzona.
zmiany
, że na zaatakowane serwery, dla których ustawiono flagę root suid, zostały pobrane dwa złośliwe pliki wykonywalne: „/etc/fonts/.fonts” i „/etc/fonts/.low”. Pierwszy to program ładujący do uruchamiania poleceń powłoki z uprawnieniami roota, a drugi to narzędzie do czyszczenia dzienników, umożliwiające usuwanie śladów aktywności atakującego. Do ukrywania szkodliwych komponentów zastosowano różne techniki, w tym instalację rootkita. , ładowany jako moduł dla jądra Linuksa. W jednym przypadku wydobycie rozpoczęto wyłącznie w nocy, aby nie przyciągać uwagi.
Po zhakowaniu host może być używany do wykonywania różnych zadań, takich jak wydobywanie Monero (XMR), uruchamianie serwera proxy (w celu komunikowania się z innymi hostami wydobywania i serwerem koordynującym wydobywanie), uruchamianie proxy SOCKS opartego na microSOCKS (w celu akceptowania zewnętrznych połączenia przez SSH) i przekazywanie SSH (główny punkt penetracji przy użyciu przejętego konta, na którym skonfigurowano tłumacz adresów do przekazywania do sieci wewnętrznej). Łącząc się z zaatakowanymi hostami, napastnicy korzystali z hostów z serwerami proxy SOCKS i zazwyczaj łączyli się za pośrednictwem Tora lub innych zaatakowanych systemów.
Źródło: opennet.ru