În mai multe clustere de calcul mari situate în centre de supercalculare din Marea Britanie, Germania, Elveția și Spania, urme de piratare a infrastructurii și instalare de malware pentru minarea ascunsă a criptomonedei Monero (XMR). O analiză detaliată a incidentelor nu este încă disponibilă, dar conform datelor preliminare, sistemele au fost compromise ca urmare a furtului de acreditări din sistemele cercetătorilor care au avut acces să ruleze sarcini în clustere (recent, multe clustere oferă acces la cercetători terți care studiază coronavirusul SARS-CoV-2 și efectuează modelarea proceselor asociate infecției cu COVID-19). După ce au obținut acces la cluster într-unul dintre cazuri, atacatorii au exploatat vulnerabilitatea în nucleul Linux pentru a obține acces root și pentru a instala un rootkit.
două incidente în care atacatorii au folosit acreditări capturate de la utilizatorii de la Universitatea din Cracovia (Polonia), Universitatea de Transport din Shanghai (China) și rețeaua științifică chineză. Acreditările au fost capturate de la participanții la programe internaționale de cercetare și utilizate pentru a se conecta la clustere prin SSH. Cum exact au fost capturate acreditările nu este încă clar, dar pe unele sisteme (nu toate) victimele scurgerii parolei, au fost detectate fișiere executabile SSH falsificate.
Drept urmare, atacatorii acces la clusterul din Regatul Unit (Universitatea din Edinburgh). , pe locul 334 în Top 500 de supercomputere cele mai mari. Următoarele pătrunderi similare au fost în clusterele bwUniCluster 2.0 (Karlsruhe Institute of Technology, Germania), ForHLR II (Karlsruhe Institute of Technology, Germania), bwForCluster JUSTUS (Universitatea din Ulm, Germania), bwForCluster BinAC (Universitatea din Tübingen, Germania) și Hawk (Universitatea din Stuttgart, Germania).
Informații despre incidentele de securitate ale clusterului în (CSCS), ( în top500), (Germania) și (, и locuri în Top500). În plus, de la angajați informațiile despre compromisul infrastructurii Centrului de calcul de înaltă performanță din Barcelona (Spania) nu au fost încă confirmate oficial.
schimbări
, că două fișiere executabile rău intenționate au fost descărcate pe serverele compromise, pentru care a fost setat indicatorul rădăcină suid: „/etc/fonts/.fonts” și „/etc/fonts/.low”. Primul este un bootloader pentru rularea comenzilor shell cu privilegii de rădăcină, iar al doilea este un program de curățare a jurnalelor pentru eliminarea urmelor activității atacatorului. Au fost folosite diverse tehnici pentru a ascunde componentele rău intenționate, inclusiv instalarea unui rootkit. , încărcat ca modul pentru nucleul Linux. Într-un caz, procesul de exploatare a fost început doar noaptea, pentru a nu atrage atenția.
Odată piratată, gazda poate fi folosită pentru a efectua diverse sarcini, cum ar fi extragerea Monero (XMR), rularea unui proxy (pentru a comunica cu alte gazde de minare și serverul care coordonează extragerea), rularea unui proxy SOCKS bazat pe microSOCKS (pentru a accepta externă). conexiuni prin SSH) și redirecționare SSH (punctul principal de penetrare folosind un cont compromis pe care a fost configurat un traducător de adrese pentru redirecționarea către rețeaua internă). Când se conectează la gazde compromise, atacatorii foloseau gazde cu proxy SOCKS și se conectau de obicei prin Tor sau alte sisteme compromise.
Sursa: opennet.ru