Buyuk Britaniya, Germaniya, Shveytsariya va Ispaniyadagi super hisoblash markazlarida joylashgan bir nechta yirik hisoblash klasterlarida, Monero (XMR) kriptovalyutasini yashirin qazib olish uchun infratuzilmani buzish va zararli dasturlarni o'rnatish izlari. Hodisalarning batafsil tahlili hali mavjud emas, ammo dastlabki ma'lumotlarga ko'ra, tizimlar klasterlarda vazifalarni bajarish uchun ruxsat olgan tadqiqotchilar tizimlaridan hisob ma'lumotlarini o'g'irlash natijasida buzilgan (yaqinda ko'plab klasterlar SARS-CoV-2 koronavirusini o'rganayotgan va COVID-19 infektsiyasi bilan bog'liq jarayonlarni modellashtirishni o'tkazayotgan uchinchi tomon tadqiqotchilari). Vaziyatlardan birida klasterga kirish imkoniga ega bo'lgandan so'ng, tajovuzkorlar zaiflikdan foydalanganlar. ildizga kirish va rootkitni o'rnatish uchun Linux yadrosida.
tajovuzkorlar Krakov universiteti (Polsha), Shanxay transport universiteti (Xitoy) va Xitoy ilmiy tarmog‘i foydalanuvchilaridan olingan hisob ma’lumotlaridan foydalangan ikkita hodisa. Hisob ma'lumotlari xalqaro tadqiqot dasturlari ishtirokchilaridan olingan va SSH orqali klasterlarga ulanish uchun ishlatilgan. Hisob ma'lumotlari qanday aniq olingani hali aniq emas, lekin parolning sizib chiqishi qurbonlarining ba'zi tizimlarida (barchasi emas) soxta SSH bajariladigan fayllar aniqlangan.
Natijada hujumchilar Buyuk Britaniyada joylashgan (Edinburg universiteti) klasteriga kirish , Top334 eng yirik superkompyuterlar reytingida 500-o‘rinni egalladi. Shunga o'xshash penetratsiyalar kuzatildi bwUniCluster 2.0 (Karlsrue Texnologiya Instituti, Germaniya), ForHLR II (Karlsrue Texnologiya Instituti, Germaniya), bwForCluster JUSTUS (Ulm universiteti, Germaniya), bwForCluster BinAC (Tyubingen universiteti, Germaniya) va Hawk (Shtutgart universiteti) klasterlarida. Germaniya).
Klaster xavfsizligi hodisalari haqida ma'lumot (CSCS), ( Top 500), (Germaniya) va (, и Top500 o'rinlari). Bundan tashqari, xodimlardan Barselonadagi (Ispaniya) Yuqori samarali hisoblash markazi infratuzilmasining murosaga kelishi haqidagi ma'lumotlar hali rasman tasdiqlanmagan.
o'zgarishlar
, buzilgan serverlarga ikkita zararli bajariladigan fayl yuklanganligi, ular uchun suid root bayrog'i o'rnatilgan: “/etc/fonts/.fonts” va “/etc/fonts/.low”. Birinchisi, ildiz huquqlariga ega qobiq buyruqlarini ishga tushirish uchun yuklovchi, ikkinchisi esa tajovuzkor faoliyati izlarini olib tashlash uchun jurnalni tozalash vositasi. Zararli komponentlarni yashirish uchun turli usullardan, jumladan, rootkitni o'rnatishdan foydalanilgan. , Linux yadrosi uchun modul sifatida yuklangan. Bir holatda, kon qazish jarayoni diqqatni jalb qilmaslik uchun faqat tunda boshlangan.
Buzilganidan so‘ng xost Monero (XMR) qazib olish, proksi-serverni ishga tushirish (boshqa tog‘-kon xostlari va qazib olishni muvofiqlashtiruvchi server bilan bog‘lanish uchun), microSOCKS-ga asoslangan SOCKS proksi-serverini ishga tushirish (tashqi qabul qilish uchun) kabi turli vazifalarni bajarish uchun ishlatilishi mumkin edi. SSH orqali ulanishlar) va SSH yo'naltirish (ichki tarmoqqa yo'naltirish uchun manzil tarjimoni sozlangan buzilgan hisobdan foydalangan holda asosiy kirish nuqtasi). Buzilgan hostlarga ulanishda tajovuzkorlar SOCKS proksi-serverlari bilan xostlardan foydalangan va odatda Tor yoki boshqa buzilgan tizimlar orqali ulangan.
Manba: opennet.ru