Katika vikundi kadhaa vikubwa vya kompyuta vilivyo katika vituo vya supercomputing nchini Uingereza, Ujerumani, Uswizi na Uhispania, athari za udukuzi wa miundombinu na usakinishaji wa programu hasidi kwa uchimbaji fiche wa sarafu ya siri ya Monero (XMR). Uchambuzi wa kina wa matukio hayo bado haujapatikana, lakini kulingana na data ya awali, mifumo hiyo iliathiriwa kutokana na wizi wa sifa kutoka kwa mifumo ya watafiti ambao walikuwa na uwezo wa kuendesha kazi katika makundi (hivi karibuni, makundi mengi hutoa upatikanaji wa watafiti wa chama cha tatu wanaosoma coronavirus ya SARS-CoV-2 na kufanya uundaji wa mchakato unaohusishwa na maambukizi ya COVID-19). Baada ya kupata ufikiaji wa nguzo katika mojawapo ya visa, washambuliaji walitumia udhaifu huo. kwenye kernel ya Linux ili kupata ufikiaji wa mizizi na kusakinisha rootkit.
matukio mawili ambapo wavamizi walitumia vitambulisho vilivyonaswa kutoka kwa watumiaji kutoka Chuo Kikuu cha Krakow (Poland), Chuo Kikuu cha Usafiri cha Shanghai (Uchina) na Mtandao wa Kisayansi wa Uchina. Vitambulisho vilinaswa kutoka kwa washiriki katika programu za kimataifa za utafiti na kutumika kuunganishwa kwenye vikundi kupitia SSH. Jinsi hasa vitambulisho vilinaswa bado haijabainika, lakini kwenye baadhi ya mifumo (siyo yote) ya waathiriwa wa uvujaji wa nenosiri, faili za SSH zilizoharibiwa ziligunduliwa.
Kama matokeo, washambuliaji ufikiaji wa nguzo ya msingi ya Uingereza (Chuo Kikuu cha Edinburgh). , iliyoorodheshwa ya 334 kati ya kompyuta bora zaidi za Juu 500. Kufuatia kupenya sawa walikuwa katika makundi bwUniCluster 2.0 (Taasisi ya Teknolojia ya Karlsruhe, Ujerumani), ForHLR II (Taasisi ya Teknolojia ya Karlsruhe, Ujerumani), bwForCluster JUSTUS (Chuo Kikuu cha Ulm, Ujerumani), bwForCluster BinAC (Chuo Kikuu cha TΓΌbingen, Ujerumani) na Hawk (Chuo Kikuu cha Stuttgart, Ujerumani).
Taarifa kuhusu matukio ya usalama wa nguzo katika (CSCS), ( juu 500), (Ujerumani) na (, ΠΈ nafasi katika Top500). Aidha, kutoka kwa wafanyakazi habari kuhusu maelewano ya miundombinu ya Kituo cha Kompyuta cha Utendaji wa Juu huko Barcelona (Hispania) bado haijathibitishwa rasmi.
mabadiliko
, kwamba faili mbili zenye nia mbaya za kutekelezwa zilipakuliwa kwa seva zilizoathiriwa, ambapo alama ya mizizi ya suid iliwekwa: "/etc/fonts/.fonts" na "/etc/fonts/.low". Ya kwanza ni bootloader ya kuendesha amri za ganda na upendeleo wa mizizi, na ya pili ni kisafishaji cha logi cha kuondoa athari za shughuli za mshambuliaji. Mbinu mbalimbali zimetumika kuficha vipengele vibaya, ikiwa ni pamoja na kusakinisha rootkit. , iliyopakiwa kama moduli ya kinu cha Linux. Katika hali moja, mchakato wa madini ulianza usiku tu, ili usivutie.
Mara baada ya kudukuliwa, seva pangishi inaweza kutumika kutekeleza kazi mbalimbali, kama vile uchimbaji madini Monero (XMR), kuendesha proksi (kuwasiliana na wasimamizi wengine wa uchimbaji madini na seva inayoratibu uchimbaji madini), kuendesha proksi ya SOCKS yenye msingi wa microSOCKS (kukubali kutoka nje. miunganisho kupitia SSH) na usambazaji wa SSH (kipengele kikuu cha kupenya kwa kutumia akaunti iliyoathiriwa ambayo mtafsiri wa anwani alisanidiwa kwa usambazaji kwa mtandao wa ndani). Wakati wa kuunganisha kwa wapangishi walioathiriwa, washambuliaji walitumia seva pangishi walio na seva mbadala za SOCKS na kwa kawaida waliunganishwa kupitia Tor au mifumo mingine iliyoathiriwa.
Chanzo: opennet.ru