Birleşik Krallık, Almanya, İsviçre ve İspanya'daki süper bilgi işlem merkezlerinde bulunan birkaç büyük bilgi işlem kümesinde, Monero (XMR) kripto para biriminin gizli madenciliği için altyapı hacklenmesi ve kötü amaçlı yazılım kurulumunun izleri. Olayların ayrıntılı bir analizi henüz mevcut değil, ancak ön verilere göre, kümelerdeki görevleri yürütmek için erişimi olan araştırmacıların sistemlerinden kimlik bilgilerinin çalınması sonucu sistemlerin güvenliği ihlal edildi (son zamanlarda birçok küme, SARS-CoV-2 koronavirüsünü inceleyen ve COVID-19 enfeksiyonuyla ilişkili süreç modellemesini yürüten üçüncü taraf araştırmacılar). Saldırganlar vakalardan birinde kümeye erişim sağladıktan sonra bu güvenlik açığından yararlandı Linux çekirdeğinde root erişimi elde etmek ve bir rootkit kurmak için.
Saldırganların Krakow Üniversitesi (Polonya), Şanghay Ulaştırma Üniversitesi (Çin) ve Çin Bilimsel Ağı kullanıcılarından ele geçirilen kimlik bilgilerini kullandığı iki olay. Uluslararası araştırma programlarındaki katılımcılardan kimlik bilgileri alındı ve SSH aracılığıyla kümelere bağlanmak için kullanıldı. Kimlik bilgilerinin tam olarak nasıl ele geçirildiği henüz belli değil, ancak şifre sızıntısının kurbanlarının bazı sistemlerinde (hepsinde değil), sahte SSH çalıştırılabilir dosyaları tespit edildi.
Sonuç olarak saldırganlar Birleşik Krallık merkezli (Edinburgh Üniversitesi) kümeye erişim En büyük 334 süper bilgisayar sıralamasında 500. sırada yer aldı. Benzer penetrasyonların ardından kümelerde bwUniCluster 2.0 (Karlsruhe Teknoloji Enstitüsü, Almanya), ForHLR II (Karlsruhe Teknoloji Enstitüsü, Almanya), bwForCluster JUSTUS (Ulm Üniversitesi, Almanya), bwForCluster BinAC (Tübingen Üniversitesi, Almanya) ve Hawk (Stuttgart Üniversitesi, Almanya).
Küme güvenliği olaylarıyla ilgili bilgiler (CSCS), ( ilk 500'de), (Almanya) ve (, и Top500'deki yerler). Ayrıca çalışanlardan Barselona'daki (İspanya) Yüksek Performanslı Bilgi İşlem Merkezi'nin altyapısının tehlikeye atıldığına ilişkin bilgi henüz resmi olarak doğrulanmadı.
değişiklikler
, suid kök bayrağının ayarlandığı iki kötü amaçlı yürütülebilir dosyanın ele geçirilen sunuculara indirildiğini ortaya çıkardı: "/etc/fonts/.fonts" ve "/etc/fonts/.low". Birincisi, kabuk komutlarını kök ayrıcalıklarıyla çalıştırmak için bir önyükleyici, ikincisi ise saldırgan etkinliğinin izlerini kaldırmak için bir günlük temizleyicidir. Kötü amaçlı bileşenleri gizlemek için rootkit yüklemek de dahil olmak üzere çeşitli teknikler kullanılmıştır. , Linux çekirdeği için bir modül olarak yüklendi. Bir vakada dikkat çekmemek için madencilik süreci sadece geceleri başlatıldı.
Ana bilgisayar saldırıya uğradığında, Monero (XMR) madenciliği yapmak, bir proxy çalıştırmak (diğer madencilik ana bilgisayarlarıyla ve madenciliği koordine eden sunucuyla iletişim kurmak için), microSOCKS tabanlı bir SOCKS proxy çalıştırmak (harici kabul etmek için) gibi çeşitli görevleri gerçekleştirmek için kullanılabilir. SSH yoluyla bağlantılar) ve SSH iletme (bir adres çeviricisinin dahili ağa iletmek üzere yapılandırıldığı, güvenliği ihlal edilmiş bir hesabı kullanan birincil penetrasyon noktası). Saldırganlar, güvenliği ihlal edilmiş ana bilgisayarlara bağlanırken, SOCKS proxy'lerine sahip ana bilgisayarları kullandı ve genellikle Tor veya güvenliği ihlal edilmiş diğer sistemler aracılığıyla bağlandı.
Kaynak: opennet.ru