У кількох великих обчислювальних кластерах, що у суперкомп'ютерних центрах Великобританії, Німеччини, Швейцарії та Іспанії, сліди зламів інфраструктури та встановлення шкідливого програмного забезпечення для прихованого майнінгу криптовалюти Monero (XMR). Детальний розбір інцидентів поки недоступний, але за попередніми даними системи були скомпрометовані в результаті крадіжки облікових даних із систем дослідників, які мають доступ на запуск завдань у кластерах (останній час багато кластерів надають доступ стороннім дослідникам, які вивчають коронавірус SARS-CoV-2 та проводять моделювання процесів , пов'язаних з інфекцією COVID-19) Після отримання доступу до кластера в одному з випадків атакуючі експлуатували вразливість в ядрі Linux для отримання root-доступу та встановлення руткіту.
два інциденти, в ході яких атакуючі скористалися обліковими даними, захопленими у користувачів Краківського університету (Польща), Шанхайського університету транспорту (Китай) та Китайської наукової мережі. Облікові дані були захоплені в учасників міжнародних дослідницьких програм і використовувалися для підключення до кластерів SSH. Як саме були захоплені облікові дані поки не ясно, але на деяких системах (не на всіх) жертв витоку паролів були виявлені підмінені файли SSH, що виконуються.
У результаті атакуючі доступ до кластера, що знаходиться у Великобританії (Единбурзький університет) , що займає 334 місце в Top500 найбільших суперкомп'ютерів Услід схожі проникнення були у кластерах bwUniCluster 2.0 (Технологічний інститут Карлсруе, Німеччина), ForHLR II (Технологічний інститут Карлсруе, Німеччина), bwForCluster JUSTUS (Ульмський університет, Німеччина), bwForCluster BinAC (Тюбінгенський університет, Німеччина) та Hawk (Штутгартський університет, Німеччина);
Пізніше було підтверджено інформацію про інциденти з безпекою кластерів у (CSCS), ( в top500), (Німеччина) та (, и місця в Top500). Крім того, від співробітників поки що офіційно не підтверджена інформація про компрометацію інфраструктури Центру високопродуктивних обчислень у Барселоні (Іспанія).
змін
, що на скомпрометовані сервери завантажувалися два шкідливі файли, для яких був встановлений прапор suid root: "/etc/fonts/.fonts" і "/etc/fonts/.low". Перший є завантажувач для запуску shell-команд з привілеями root, а другий - чистильник логів для видалення слідів активності зловмисників. Для приховання шкідливих компонентів використовувалися різні техніки, включаючи установку руткіта , що завантажується у формі модуля для ядра Linux. В одному випадку процес майнінгу запускався лише вночі, щоб не привертати увагу.
Після злому хост міг використовуватися для виконання різних завдань, таких як майнінг криптовалюти Monero (XMR), запуск проксі (для взаємодії з іншими хостами, що виконують майнінг, та сервером координуючим майнінг), запуск SOCKS-проксі на базі microSOCKS (для прийому зовнішніх з'єднань SSH) та прокидання SSH (первинна точка проникнення за допомогою скомпрометованого облікового запису, на якому налаштовувався транслятор адрес для прокидання у внутрішню мережу). При підключенні до зламаних вузлів атакуючі використовували хости з SOCKS-проксі і, як правило, підключалися через Tor або інші зламані системи.
Джерело: opennet.ru