Dina sababaraha klaster komputasi badag ayana di puseur supercomputing di Inggris, Jérman, Swiss jeung Spanyol, ngambah infrasturktur Hacking sarta instalasi malware pikeun pertambangan disumputkeun tina Monero (XMR) cryptocurrency. Analisis rinci ngeunaan insiden teu acan sadia, tapi nurutkeun data awal, sistem anu compromised salaku hasil tina maling Kapercayaan tina sistem peneliti anu miboga aksés ka ngajalankeun tugas dina klaster (nembe, loba klaster nyadiakeun aksés ka Panaliti pihak katilu anu nalungtik coronavirus SARS-CoV-2 sareng ngalaksanakeun modél prosés anu aya hubunganana sareng inféksi COVID-19). Saatos kéngingkeun aksés kana klaster dina salah sahiji kasus, panyerang ngeksploitasi kerentanan dina kernel Linux Ubuntu mangtaun aksés root tur masang rootkit a.
dua kajadian dimana panyerang ngagunakeun kredensial anu dicandak ti pangguna ti Universitas Krakow (Polandia), Universitas Angkutan Shanghai (Cina) sareng Jaringan Ilmiah Cina. Kapercayaan direbut ti pamilon dina program panalungtikan internasional tur dipaké pikeun nyambung ka klaster via SSH. Kumaha persisna kredensial direbut henteu acan écés, tapi dina sababaraha sistem (henteu sadayana) korban bocor sandi, file laksana SSH anu palsu dideteksi.
Hasilna, panyerang aksés ka kluster basis Inggris (Universitas Edinburgh). , rengking 334th dina Top500 superkomputer panggedéna. Handap penetrasi sarupa éta dina klaster bwUniCluster 2.0 (Karlsruhe Institute of Technology, Jérman), ForHLR II (Karlsruhe Institute of Technology, Jérman), bwForCluster JUSTUS (Ulm University, Jérman), bwForCluster BinAC (Universitas Tübingen, Jérman) jeung Hawk (Universitas Stuttgart, Jérman).
Inpormasi ngeunaan insiden kaamanan klaster di (CSCS), ( di luhur 500), (Jerman) jeung (, и tempat di Top500). Sajaba ti éta, ti pagawé Inpormasi ngeunaan kompromi infrastruktur Pusat Komputasi Kinerja Tinggi di Barcelona (Spanyol) henteu acan dikonfirmasi sacara resmi.
parobahan
, éta dua file laksana jahat anu diundeur ka server compromised, nu suid root bandéra disetel: "/etc/fonts/.fonts" jeung "/etc/fonts/.low". Anu kahiji nyaéta bootloader pikeun ngajalankeun paréntah cangkang kalayan hak istimewa root, sareng anu kadua nyaéta log cleaner pikeun ngahapus jejak kagiatan panyerang. Rupa-rupa téhnik geus dipaké pikeun nyumputkeun komponén jahat, kaasup masang rootkit a. , dimuat salaku modul pikeun kernel Linux. Dina hiji kasus, prosés pertambangan dimimitian ngan peuting, ku kituna teu narik perhatian.
Sakali hacked, host bisa dipaké pikeun ngalakukeun rupa-rupa pancén, kayaning pertambangan Monero (XMR), ngajalankeun proxy (pikeun komunikasi jeung host pertambangan sejen tur server koordinasi pertambangan), ngajalankeun hiji microSOCKS basis SOCKS proxy (pikeun nampa éksternal. sambungan via SSH) jeung SSH diteruskeun (titik utama penetrasi maké akun compromised on nu hiji penerjemah alamat ieu ngonpigurasi pikeun diteruskeun ka jaringan internal). Nalika nyambungkeun ka host anu dikompromi, panyerang ngagunakeun host nganggo proksi SOCKS sareng biasana dihubungkeun ngaliwatan Tor atanapi sistem anu badé dikompromi.
sumber: opennet.ru