Në disa grupime të mëdha kompjuterike të vendosura në qendra superkompjuterike në MB, Gjermani, Zvicër dhe Spanjë, gjurmë të hakimit të infrastrukturës dhe instalimit të malware për minierën e fshehur të kriptomonedhës Monero (XMR). Një analizë e detajuar e incidenteve nuk është ende e disponueshme, por sipas të dhënave paraprake, sistemet u komprometuan si rezultat i vjedhjes së kredencialeve nga sistemet e studiuesve që kishin akses për të ekzekutuar detyrat në grupe (kohët e fundit, shumë grupe ofrojnë qasje në studiues të palëve të treta që studiojnë koronavirusin SARS-CoV-2 dhe kryejnë modelimin e procesit të lidhur me infeksionin COVID-19). Pasi fituan akses në grup në një nga rastet, sulmuesit shfrytëzuan cenueshmërinë në kernel Linux për të fituar qasje rrënjësore dhe për të instaluar një rootkit.
dy incidente në të cilat sulmuesit përdorën kredencialet e marra nga përdoruesit nga Universiteti i Krakovit (Poloni), Universiteti i Transportit i Shangait (Kinë) dhe Rrjeti Shkencor Kinez. Kredencialet u kapën nga pjesëmarrësit në programet ndërkombëtare të kërkimit dhe u përdorën për t'u lidhur me grupet përmes SSH. Se si u kapën saktësisht kredencialet nuk është ende e qartë, por në disa sisteme (jo të gjitha) të viktimave të rrjedhjes së fjalëkalimit, u identifikuan skedarë të ekzekutueshëm SSH të falsifikuara.
Si rezultat, sulmuesit akses në grupin me bazë në Mbretërinë e Bashkuar (Universiteti i Edinburgut). , renditet i 334-ti në Top 500 superkompjuterët më të mëdhenj. Pas depërtimeve të ngjashme ishin në grupimet bwUniCluster 2.0 (Instituti i Teknologjisë Karlsruhe, Gjermani), ForHLR II (Instituti i Teknologjisë Karlsruhe, Gjermani), bwForCluster JUSTUS (Universiteti Ulm, Gjermani), bwForCluster BinAC (Universiteti i Tübingen, Gjermani) dhe Hawk (Universiteti i Shtutgartit, Gjermani).
Informacion rreth incidenteve të sigurisë së grupimeve në (CSCS), ( në top 500), (Gjermani) dhe (, и vende në Top500). Përveç kësaj, nga punonjësit Informacioni në lidhje me kompromentimin e infrastrukturës së Qendrës Informatike me Performancë të Lartë në Barcelonë (Spanjë) nuk është konfirmuar ende zyrtarisht.
ndryshimet
, se dy skedarë të ekzekutueshëm me qëllim të keq u shkarkuan në serverët e komprometuar, për të cilët u vendos flamuri rrënjë suid: “/etc/fonts/.fonts” dhe “/etc/fonts/.low”. E para është një bootloader për ekzekutimin e komandave të guaskës me privilegje rrënjësore, dhe e dyta është një pastrues i regjistrave për heqjen e gjurmëve të aktivitetit të sulmuesit. Teknika të ndryshme janë përdorur për të fshehur komponentët me qëllim të keq, duke përfshirë instalimin e një rootkit. , i ngarkuar si një modul për kernelin Linux. Në një rast, procesi i minierave filloi vetëm natën, për të mos tërhequr vëmendjen.
Pasi të hakohet, hosti mund të përdoret për të kryer detyra të ndryshme, të tilla si minerimi i Monero (XMR), ekzekutimi i një përfaqësuesi (për të komunikuar me hostet e tjerë të minierave dhe serveri që koordinon minierën), ekzekutimi i një përfaqësuesi SOCKS të bazuar në microSOCKS (për të pranuar të jashtëm lidhjet nëpërmjet SSH) dhe përcjellja SSH (pika kryesore e depërtimit duke përdorur një llogari të komprometuar në të cilën është konfiguruar një përkthyes adresash për përcjelljen në rrjetin e brendshëm). Kur lidheshin me hostet e komprometuar, sulmuesit përdorën hoste me proxies SOCKS dhe zakonisht lidhen përmes Tor ose sistemeve të tjera të komprometuara.
Burimi: opennet.ru