Em vários grandes clusters de computação localizados em centros de supercomputação no Reino Unido, Alemanha, Suíça e Espanha, vestígios de invasão de infraestrutura e instalação de malware para mineração oculta da criptomoeda Monero (XMR). Uma análise detalhada dos incidentes ainda não está disponível, mas de acordo com dados preliminares, os sistemas foram comprometidos em decorrência do roubo de credenciais dos sistemas de pesquisadores que tinham acesso para executar tarefas em clusters (recentemente, muitos clusters fornecem acesso a pesquisadores terceirizados que estudam o coronavírus SARS-CoV-2 e conduzem modelagem de processos associados à infecção por COVID-19). Após obter acesso ao cluster em um dos casos, os invasores exploraram a vulnerabilidade no kernel do Linux para obter acesso root e instalar um rootkit.
dois incidentes em que os invasores usaram credenciais capturadas de usuários da Universidade de Cracóvia (Polônia), da Universidade de Transporte de Xangai (China) e da Chinese Science Network. As credenciais foram capturadas de participantes em programas de pesquisa internacionais e usadas para conectar-se a clusters via SSH. Ainda não está claro como exatamente as credenciais foram capturadas, mas em alguns sistemas (não todos) das vítimas do vazamento de senha, foram identificados arquivos executáveis SSH falsificados.
Como resultado, os atacantes acesso ao cluster baseado no Reino Unido (Universidade de Edimburgo) , classificado em 334º lugar no Top500 maiores supercomputadores. Após penetrações semelhantes foram nos clusters bwUniCluster 2.0 (Instituto de Tecnologia de Karlsruhe, Alemanha), ForHLR II (Instituto de Tecnologia de Karlsruhe, Alemanha), bwForCluster JUSTUS (Universidade de Ulm, Alemanha), bwForCluster BinAC (Universidade de Tübingen, Alemanha) e Hawk (Universidade de Stuttgart, Alemanha).
Informações sobre incidentes de segurança de cluster em (CSCS), ( no top500), (Alemanha) e (, и lugares no Top500). Além disso, dos funcionários informações sobre o comprometimento da infraestrutura do Centro de Computação de Alto Desempenho de Barcelona (Espanha) ainda não foram oficialmente confirmadas.
alterar
, que dois arquivos executáveis maliciosos foram baixados para os servidores comprometidos, para os quais o sinalizador suid root foi definido: “/etc/fonts/.fonts” e “/etc/fonts/.low”. O primeiro é um gerenciador de inicialização para executar comandos shell com privilégios de root e o segundo é um limpador de log para remover vestígios de atividade do invasor. Várias técnicas foram usadas para ocultar componentes maliciosos, incluindo a instalação de um rootkit. , carregado como um módulo para o kernel Linux. Num caso, o processo de mineração foi iniciado apenas à noite, para não chamar a atenção.
Uma vez hackeado, o host pode ser usado para executar várias tarefas, como minerar Monero (XMR), executar um proxy (para se comunicar com outros hosts de mineração e o servidor que coordena a mineração), executar um proxy SOCKS baseado em microSOCKS (para aceitar servidores externos). conexões via SSH) e encaminhamento SSH (o principal ponto de penetração usando uma conta comprometida na qual um tradutor de endereços foi configurado para encaminhamento para a rede interna). Ao se conectarem a hosts comprometidos, os invasores usaram hosts com proxies SOCKS e normalmente se conectaram por meio do Tor ou de outros sistemas comprometidos.
Fonte: opennet.ru