ในคลัสเตอร์คอมพิวเตอร์ขนาดใหญ่หลายแห่งที่ตั้งอยู่ในศูนย์ซูเปอร์คอมพิวเตอร์ในสหราชอาณาจักร เยอรมนี สวิตเซอร์แลนด์ และสเปน ร่องรอยของการแฮ็กโครงสร้างพื้นฐานและการติดตั้งมัลแวร์สำหรับการขุดสกุลเงินดิจิตอล Monero (XMR) ที่ซ่อนอยู่ ยังไม่มีการวิเคราะห์เหตุการณ์โดยละเอียด แต่ตามข้อมูลเบื้องต้น ระบบถูกบุกรุกอันเป็นผลมาจากการขโมยข้อมูลประจำตัวจากระบบของนักวิจัยที่มีสิทธิ์เข้าถึงเพื่อดำเนินการงานในคลัสเตอร์ (เมื่อเร็ว ๆ นี้ คลัสเตอร์จำนวนมากให้การเข้าถึง นักวิจัยบุคคลที่สามที่กำลังศึกษาไวรัสโคโรนา SARS-CoV-2 และดำเนินการสร้างแบบจำลองกระบวนการที่เกี่ยวข้องกับการติดเชื้อ COVID-19) หลังจากเข้าถึงคลัสเตอร์ในกรณีใดกรณีหนึ่งแล้ว ผู้โจมตีก็ใช้ประโยชน์จากช่องโหว่ดังกล่าว ในเคอร์เนล Linux เพื่อเข้าถึงรูทและติดตั้งรูทคิท
เหตุการณ์สองเหตุการณ์ที่ผู้โจมตีใช้ข้อมูลรับรองที่รวบรวมจากผู้ใช้จากมหาวิทยาลัยคราคูฟ (โปแลนด์), มหาวิทยาลัยขนส่งเซี่ยงไฮ้ (จีน) และเครือข่ายวิทยาศาสตร์จีน ข้อมูลรับรองถูกรวบรวมจากผู้เข้าร่วมในโครงการวิจัยระดับนานาชาติ และใช้เชื่อมต่อกับคลัสเตอร์ผ่าน SSH วิธีการบันทึกข้อมูลประจำตัวนั้นยังไม่ชัดเจน แต่ในบางระบบ (ไม่ใช่ทั้งหมด) ของเหยื่อจากการรั่วไหลของรหัสผ่าน มีการตรวจพบไฟล์ปฏิบัติการ SSH ที่ปลอมแปลง
ส่งผลให้ผู้โจมตี เข้าถึงคลัสเตอร์ในสหราชอาณาจักร (มหาวิทยาลัยเอดินบะระ) อยู่ในอันดับที่ 334 ในซูเปอร์คอมพิวเตอร์ที่ใหญ่ที่สุด 500 อันดับแรก ดังต่อไปนี้การเจาะที่คล้ายกันคือ ในกลุ่ม bwUniCluster 2.0 (สถาบันเทคโนโลยี Karlsruhe ประเทศเยอรมนี), ForHLR II (สถาบันเทคโนโลยี Karlsruhe ประเทศเยอรมนี), bwForCluster JUSTUS (มหาวิทยาลัย Ulm ประเทศเยอรมนี), bwForCluster BinAC (มหาวิทยาลัย Tübingen ประเทศเยอรมนี) และ Hawk (มหาวิทยาลัย Stuttgart, เยอรมนี)
ข้อมูลเกี่ยวกับเหตุการณ์ความปลอดภัยของคลัสเตอร์ใน (คสช.) ( ใน 500 อันดับแรก) (เยอรมนี) และ (, и อันดับที่อยู่ใน Top500) นอกจากนี้จากพนักงาน ข้อมูลเกี่ยวกับการประนีประนอมของโครงสร้างพื้นฐานของศูนย์คอมพิวเตอร์ประสิทธิภาพสูงในบาร์เซโลนา (สเปน) ยังไม่ได้รับการยืนยันอย่างเป็นทางการ
การเปลี่ยนแปลง
ว่าไฟล์ปฏิบัติการที่เป็นอันตรายสองไฟล์ถูกดาวน์โหลดไปยังเซิร์ฟเวอร์ที่ถูกบุกรุก ซึ่งมีการตั้งค่าสถานะ root ของ suid: “/etc/fonts/.fonts” และ “/etc/fonts/.low” อย่างแรกคือโปรแกรมโหลดบูตสำหรับการรันคำสั่งเชลล์ด้วยสิทธิ์รูท และอย่างที่สองคือตัวล้างบันทึกสำหรับลบร่องรอยของกิจกรรมของผู้โจมตี มีการใช้เทคนิคต่างๆ เพื่อซ่อนส่วนประกอบที่เป็นอันตราย รวมถึงการติดตั้งรูทคิท โหลดเป็นโมดูลสำหรับเคอร์เนล Linux ในกรณีหนึ่ง กระบวนการขุดเริ่มขึ้นเฉพาะตอนกลางคืนเท่านั้น เพื่อไม่ให้ดึงดูดความสนใจ
เมื่อถูกแฮ็ก โฮสต์สามารถใช้เพื่อทำงานต่างๆ ได้ เช่น การขุด Monero (XMR) การเรียกใช้พร็อกซี (เพื่อสื่อสารกับโฮสต์การขุดอื่นๆ และเซิร์ฟเวอร์ที่ประสานงานการขุด) การเรียกใช้พร็อกซี SOCKS ที่ใช้ microSOCKS (เพื่อยอมรับภายนอก การเชื่อมต่อผ่าน SSH) และการส่งต่อ SSH (จุดหลักของการเจาะโดยใช้บัญชีที่ถูกบุกรุกซึ่งมีการกำหนดค่าตัวแปลที่อยู่สำหรับการส่งต่อไปยังเครือข่ายภายใน) เมื่อเชื่อมต่อกับโฮสต์ที่ถูกบุกรุก ผู้โจมตีจะใช้โฮสต์ที่มีพร็อกซี SOCKS และโดยทั่วไปจะเชื่อมต่อผ่าน Tor หรือระบบอื่นๆ ที่ถูกบุกรุก
ที่มา: opennet.ru