Buyuk Britaniya, Germaniya, Shveytsariya va Ispaniyadagi superkompyuter markazlarida joylashgan bir qancha yirik hisoblash klasterlarida, Monero (XMR) kriptovalyutasini yashirin qazib olish uchun infratuzilmani buzish va zararli dasturlarni o‘rnatish izlari topildi. Hodisalarning batafsil tahlili hozircha mavjud emas, biroq dastlabki maʼlumotlarga koʻra, tizimlar klasterlarda ishlashga ruxsati boʻlgan tadqiqotchilarning maʼlumotlarini oʻgʻirlash natijasida buzilgan (koʻpgina klasterlar yaqinda SARS-CoV-2 koronavirusini oʻrganayotgan va COVID-19 infeksiyasi bilan bogʻliq modellashtirish jarayonlarini oʻrganayotgan uchinchi tomon tadqiqotchilariga kirishni taʼminlamoqda). Klasterga kirish imkoniga ega bo'lgandan so'ng, bir holatda tajovuzkorlar zaiflikdan foydalangan. yadroda Linux root huquqini olish va rootkitni o'rnatish uchun.
Ikkita hodisa tajovuzkorlarning Krakov universiteti (Polsha), Shanxay Jiaotong universiteti (Xitoy) va Xitoy ilmiy tarmog‘i foydalanuvchilaridan olingan hisob ma’lumotlaridan foydalangan holda sodir bo‘lgan. Hisob ma'lumotlari xalqaro tadqiqot dasturlari ishtirokchilaridan olingan va SSH orqali klasterlarga ulanish uchun ishlatilgan. Hisob ma'lumotlari qanday aniq qo'lga kiritilgani noma'lum, ammo parolning sizib chiqishi qurbonlarining ba'zi (barcha emas) tizimlarida soxta SSH bajariladigan fayllar topilgan.
Natijada hujumchilar Buyuk Britaniyada joylashgan klasterga kirish (Edinburg universiteti) , Top500 eng yirik superkompyuterlar reytingida 334-o‘rinni egalladi. Shunga o'xshash bosqinlar sodir bo'ldi. bwUniCluster 2.0 (Karlsrue Texnologiya Instituti, Germaniya), ForHLR II (Karlsrue Texnologiya Instituti, Germaniya), bwForCluster JUSTUS (Ulm universiteti, Germaniya), bwForCluster BinAC (Tyubingen universiteti, Germaniya) va Hawk (Shtutgart universiteti, Germaniya) klasterlarida.
Keyinchalik, klasterlar bilan xavfsizlik hodisalari haqida ma'lumot (CSCS), ( eng yaxshi 500 tasida), (Germaniya) va (, и Top500 o'rinlari). Bundan tashqari, xodimlardan Barselonadagi (Ispaniya) Yuqori samarali hisoblash markazi infratuzilmasi buzilganligi haqida hali ham tasdiqlanmagan ma'lumotlar mavjud.
o'zgarishlar
Suid root bayrog'i o'rnatilgan ikkita zararli bajariladigan fayl buzilgan serverlarga yuklandi: "/etc/fonts/.fonts" va "/etc/fonts/.low." Birinchisi, ildiz huquqlariga ega qobiq buyruqlarini ishga tushirish uchun yuklovchi, ikkinchisi esa tajovuzkorlar faoliyatining izlarini olib tashlash uchun jurnalni tozalash vositasi. Zararli komponentlarni yashirish uchun turli usullardan, jumladan, rootkitni o'rnatishdan foydalanilgan. , yadro uchun modul sifatida yuklangan LinuxBir holatda, diqqatni jalb qilmaslik uchun qazib olish jarayoni faqat tunda boshlangan.
Buzilganidan so'ng, xost Monero (XMR) ni qazib olish, proksi-serverni ishga tushirish (boshqa konchilik xostlari va qazib olishni muvofiqlashtiruvchi server bilan bog'lanish uchun), microSOCKS-ga asoslangan SOCKS proksi-serverini ishga tushirish (tashqi SSH ulanishlarini qabul qilish uchun) va SSH-ni yo'naltirish (ichki tarmoq manzilini yo'naltirish uchun konfiguratsiya qilingan hisob qaydnomasi orqali kirishning asosiy nuqtasi) kabi turli vazifalar uchun ishlatilishi mumkin edi. Buzilgan tugunlarga ulanishda tajovuzkorlar SOCKS proksi-serverlari bilan xostlardan foydalangan va odatda Tor yoki boshqa buzilgan tizimlar orqali ulangan.
Manba: opennet.ru
