I flera stora datorkluster belägna i superdatorcenter i Storbritannien, Tyskland, Schweiz och Spanien, spår av hackning av infrastruktur och installation av skadlig programvara för dold brytning av kryptovalutan Monero (XMR). En detaljerad analys av incidenterna är ännu inte tillgänglig, men enligt preliminära data äventyrades systemen som ett resultat av stöld av referenser från systemen för forskare som hade tillgång till att köra uppgifter i kluster (nyligen har många kluster tillgång till tredjepartsforskare som studerar SARS-CoV-2-coronaviruset och utför processmodellering i samband med COVID-19-infektion). Efter att ha fått tillgång till klustret i ett av fallen utnyttjade angriparna sårbarheten i Linux-kärnan för att få root-åtkomst och installera ett rootkit.
två incidenter där angripare använde referenser från användare från universitetet i Krakow (Polen), Shanghai Transport University (Kina) och Chinese Science Network. Inloggningsuppgifter hämtades från deltagare i internationella forskningsprogram och användes för att ansluta till kluster via SSH. Exakt hur referenserna fångades är ännu inte klart, men på vissa system (inte alla) av offren för lösenordsläckan identifierades falska körbara SSH-filer.
Som ett resultat, angriparna tillgång till det Storbritannien-baserade (University of Edinburgh) klustret , rankad 334:a bland de 500 största superdatorerna. Följande liknande penetrationer var i klustren bwUniCluster 2.0 (Karlsruhe Institute of Technology, Tyskland), ForHLR II (Karlsruhe Institute of Technology, Tyskland), bwForCluster JUSTUS (Ulm University, Tyskland), bwForCluster BinAC (University of Tübingen, Tyskland) och Hawk (University of Stuttgart, Tyskland).
Information om klustersäkerhetsincidenter i (CSCS), ( i topp 500), (Tyskland) och (, и platser i topp 500). Dessutom från anställda information om kompromissen av infrastrukturen för High Performance Computing Center i Barcelona (Spanien) har ännu inte bekräftats officiellt.
ändringar
, att två skadliga körbara filer laddades ner till de komprometterade servrarna, för vilka suid-rotflaggan var inställd: "/etc/fonts/.fonts" och "/etc/fonts/.low". Den första är en starthanterare för att köra skalkommandon med root-privilegier, och den andra är en loggrensare för att ta bort spår av angriparaktivitet. Olika tekniker har använts för att dölja skadliga komponenter, inklusive installation av ett rootkit. , laddad som en modul för Linux-kärnan. I ett fall startade gruvprocessen endast på natten, för att inte väcka uppmärksamhet.
När den väl har hackats kunde värden användas för att utföra olika uppgifter, såsom mining Monero (XMR), köra en proxy (för att kommunicera med andra gruvvärdar och servern som koordinerar gruvdriften), köra en microSOCKS-baserad SOCKS proxy (för att acceptera extern anslutningar via SSH) och SSH-vidarebefordran (den primära penetreringspunkten med ett intrångskonto där en adressöversättare konfigurerats för vidarebefordran till det interna nätverket). När angripare ansluter till komprometterade värdar använde angriparna värdar med SOCKS-proxyer och ansluter vanligtvis via Tor eller andra komprometterade system.
Källa: opennet.ru