Sa ilang malalaking kumpol ng computing na matatagpuan sa mga supercomputing center sa UK, Germany, Switzerland at Spain, bakas ng pag-hack ng imprastraktura at pag-install ng malware para sa nakatagong pagmimina ng Monero (XMR) cryptocurrency. Ang isang detalyadong pagsusuri ng mga insidente ay hindi pa magagamit, ngunit ayon sa paunang data, ang mga sistema ay nakompromiso bilang resulta ng pagnanakaw ng mga kredensyal mula sa mga sistema ng mga mananaliksik na may access na magpatakbo ng mga gawain sa mga kumpol (kamakailan, maraming mga kumpol ang nagbibigay ng access sa mga third-party na mananaliksik na nag-aaral ng SARS-CoV-2 coronavirus at nagsasagawa ng pagmomodelo ng proseso na nauugnay sa impeksyon sa COVID-19). Matapos magkaroon ng access sa cluster sa isa sa mga kaso, sinamantala ng mga umaatake ang kahinaan sa Linux kernel upang makakuha ng root access at mag-install ng rootkit.
dalawang insidente kung saan gumamit ang mga attacker ng mga kredensyal na nakuha mula sa mga user mula sa University of Krakow (Poland), Shanghai Transport University (China) at sa Chinese Scientific Network. Ang mga kredensyal ay nakuha mula sa mga kalahok sa mga internasyonal na programa sa pananaliksik at ginamit upang kumonekta sa mga kumpol sa pamamagitan ng SSH. Kung paano eksaktong nakuha ang mga kredensyal ay hindi pa malinaw, ngunit sa ilang mga sistema (hindi lahat) ng mga biktima ng pagtagas ng password, nakita ang mga spoofed SSH executable file.
Bilang resulta, ang mga umaatake access sa UK-based (University of Edinburgh) cluster , niraranggo ang ika-334 sa Top500 pinakamalaking supercomputer. Kasunod ng mga katulad na pagtagos ay sa mga cluster bwUniCluster 2.0 (Karlsruhe Institute of Technology, Germany), ForHLR II (Karlsruhe Institute of Technology, Germany), bwForCluster JUSTUS (Ulm University, Germany), bwForCluster BinAC (University of TΓΌbingen, Germany) at Hawk (University of Stuttgart, Alemanya).
Impormasyon tungkol sa mga insidente ng seguridad ng cluster sa (CSCS), ( nasa top500), (Germany) at (, ΠΈ mga lugar sa Top500). Bilang karagdagan, mula sa mga empleyado ang impormasyon tungkol sa kompromiso ng imprastraktura ng High Performance Computing Center sa Barcelona (Spain) ay hindi pa opisyal na nakumpirma.
mga pagbabago
, na dalawang malisyosong executable na file ang na-download sa mga nakompromisong server, kung saan itinakda ang suid root flag: β/etc/fonts/.fontsβ at β/etc/fonts/.lowβ. Ang una ay isang bootloader para sa pagpapatakbo ng mga shell command na may mga pribilehiyo sa ugat, at ang pangalawa ay isang log cleaner para sa pag-alis ng mga bakas ng aktibidad ng attacker. Iba't ibang mga diskarte ang ginamit upang itago ang mga nakakahamak na bahagi, kabilang ang pag-install ng rootkit. , na-load bilang isang module para sa Linux kernel. Sa isang kaso, ang proseso ng pagmimina ay sinimulan lamang sa gabi, upang hindi makaakit ng pansin.
Kapag na-hack, maaaring gamitin ang host para magsagawa ng iba't ibang gawain, tulad ng pagmimina ng Monero (XMR), pagpapatakbo ng proxy (upang makipag-ugnayan sa iba pang mga mining host at sa server na nagko-coordinate sa pagmimina), pagpapatakbo ng microSOCKS-based na SOCKS proxy (upang tanggapin ang external mga koneksyon sa pamamagitan ng SSH) at pagpapasa ng SSH (ang pangunahing punto ng pagtagos gamit ang isang nakompromisong account kung saan ang isang tagasalin ng address ay na-configure para sa pagpapasa sa panloob na network). Kapag kumokonekta sa mga nakompromisong host, gumamit ang mga umaatake ng mga host na may mga proxy na SOCKS at karaniwang nakakonekta sa pamamagitan ng Tor o iba pang mga nakompromisong system.
Pinagmulan: opennet.ru