V več velikih računalniških grozdih v superračunalniških centrih v Veliki Britaniji, Nemčiji, Švici in Španiji, sledi infrastrukturnih vdorov in namestitve zlonamerne programske opreme za skrito rudarjenje kriptovalute Monero (XMR). Podrobna analiza incidentov še ni na voljo, po preliminarnih podatkih pa so bili sistemi ogroženi zaradi kraje poverilnic iz sistemov raziskovalcev, ki so imeli dostop do izvajanja nalog v gručah (v zadnjem času veliko gruč omogoča dostop do zunanji raziskovalci, ki preučujejo koronavirus SARS-CoV-2 in izvajajo modeliranje procesov, povezanih z okužbo s COVID-19). Po pridobitvi dostopa do gruče v enem od primerov so napadalci izkoristili ranljivost v jedru Linuxa, da pridobite root dostop in namestite rootkit.
dva incidenta, v katerih so napadalci uporabili poverilnice, ki so jih pridobili od uporabnikov Univerze v Krakovu (Poljska), Šanghajske prometne univerze (Kitajska) in kitajske znanstvene mreže. Poverilnice so bile zajete od udeležencev mednarodnih raziskovalnih programov in uporabljene za povezavo z grozdi prek SSH. Kako natančno so bile zajete poverilnice, še ni jasno, vendar so bile v nekaterih sistemih (ne vseh) žrtev uhajanja gesla prepoznane ponarejene izvršljive datoteke SSH.
Kot rezultat, napadalci dostop do grozda s sedežem v Veliki Britaniji (Univerza v Edinburghu). , na 334. mestu Top500 največjih superračunalnikov. Po podobnih prodorih je bilo v grozdih bwUniCluster 2.0 (Karlsruhe Institute of Technology, Nemčija), ForHLR II (Karlsruhe Institute of Technology, Nemčija), bwForCluster JUSTUS (Univerza Ulm, Nemčija), bwForCluster BinAC (Univerza v Tübingenu, Nemčija) in Hawk (Univerza v Stuttgartu, Nemčija).
Informacije o varnostnih incidentih gruče v (CSCS), ( med top 500), (Nemčija) in (, и mesta v Top500). Poleg tega od zaposlenih informacije o ogroženosti infrastrukture visokozmogljivega računalniškega centra v Barceloni (Španija) še niso uradno potrjene.
spremembe
, da sta bili na ogrožene strežnike preneseni dve zlonamerni izvršljivi datoteki, za kateri je bila nastavljena korenska zastavica suid: “/etc/fonts/.fonts” in “/etc/fonts/.low”. Prvi je zagonski nalagalnik za izvajanje ukazov lupine s korenskimi pravicami, drugi pa čistilec dnevnika za odstranjevanje sledi dejavnosti napadalcev. Za skrivanje zlonamernih komponent so bile uporabljene različne tehnike, vključno z namestitvijo rootkita. , naložen kot modul za jedro Linuxa. V enem primeru so rudarjenje začeli šele ponoči, da ne bi pritegnili pozornosti.
Ko je gostitelj vdrl, bi ga lahko uporabili za izvajanje različnih nalog, kot je rudarjenje Monero (XMR), izvajanje proxyja (za komunikacijo z drugimi gostitelji rudarjenja in strežnikom, ki usklajuje rudarjenje), izvajanje proxyja SOCKS, ki temelji na microSOCKS (za sprejemanje zunanjih povezave prek SSH) in SSH posredovanje (primarna točka prodora z ogroženim računom, na katerem je bil konfiguriran prevajalnik naslovov za posredovanje v notranje omrežje). Pri povezovanju z ogroženimi gostitelji so napadalci uporabili gostitelje s proxyji SOCKS in se običajno povezali prek Tor ali drugih ogroženih sistemov.
Vir: opennet.ru