Trong một số cụm điện toán lớn đặt tại các trung tâm siêu máy tính ở Anh, Đức, Thụy Sĩ và Tây Ban Nha, dấu vết tấn công cơ sở hạ tầng và cài đặt phần mềm độc hại để khai thác ẩn tiền điện tử Monero (XMR). Phân tích chi tiết về các sự cố vẫn chưa có, nhưng theo dữ liệu sơ bộ, các hệ thống đã bị xâm phạm do bị đánh cắp thông tin xác thực từ hệ thống của các nhà nghiên cứu có quyền truy cập để chạy các nhiệm vụ trong cụm (gần đây, nhiều cụm cung cấp quyền truy cập vào các nhà nghiên cứu bên thứ ba nghiên cứu về vi rút Corona SARS-CoV-2 và tiến hành lập mô hình quy trình liên quan đến lây nhiễm COVID-19). Sau khi giành được quyền truy cập vào cụm trong một trong các trường hợp, kẻ tấn công đã khai thác lỗ hổng trong nhân Linux để có quyền truy cập root và cài đặt rootkit.
hai sự cố trong đó kẻ tấn công sử dụng thông tin xác thực lấy được từ người dùng từ Đại học Krakow (Ba Lan), Đại học Giao thông Thượng Hải (Trung Quốc) và Mạng Khoa học Trung Quốc. Thông tin xác thực được lấy từ những người tham gia chương trình nghiên cứu quốc tế và được sử dụng để kết nối với các cụm thông qua SSH. Vẫn chưa rõ cách thức chính xác thông tin đăng nhập được thu thập, nhưng trên một số hệ thống (không phải tất cả) nạn nhân của vụ rò rỉ mật khẩu, các tệp thực thi SSH giả mạo đã được xác định.
Kết quả là, những kẻ tấn công truy cập vào cụm có trụ sở tại Vương quốc Anh (Đại học Edinburgh) , xếp thứ 334 trong Top500 siêu máy tính lớn nhất. Sau sự thâm nhập tương tự là trong các cụm bwUniCluster 2.0 (Viện Công nghệ Karlsruhe, Đức), ForHLR II (Viện Công nghệ Karlsruhe, Đức), bwForCluster JUSTUS (Đại học Ulm, Đức), bwForCluster BinAC (Đại học Tübingen, Đức) và Hawk (Đại học Stuttgart, Nước Đức).
Thông tin về các sự cố bảo mật cụm trong (CSCS), ( trong top500), (Đức) và (, и vị trí trong Top500). Ngoài ra, từ nhân viên Thông tin về sự xâm phạm cơ sở hạ tầng của Trung tâm Điện toán Hiệu năng Cao ở Barcelona (Tây Ban Nha) vẫn chưa được xác nhận chính thức.
thay đổi
, hai tệp thực thi độc hại đã được tải xuống máy chủ bị xâm nhập, trong đó cờ gốc suid đã được đặt: “/etc/fonts/.fonts” và “/etc/fonts/.low”. Đầu tiên là bộ nạp khởi động để chạy các lệnh shell với quyền root và thứ hai là trình dọn dẹp nhật ký để xóa dấu vết hoạt động của kẻ tấn công. Nhiều kỹ thuật khác nhau đã được sử dụng để ẩn các thành phần độc hại, bao gồm cả việc cài đặt rootkit. , được tải dưới dạng mô-đun cho nhân Linux. Trong một trường hợp, quá trình khai thác chỉ được bắt đầu vào ban đêm để không thu hút sự chú ý.
Sau khi bị tấn công, máy chủ có thể được sử dụng để thực hiện nhiều tác vụ khác nhau, chẳng hạn như khai thác Monero (XMR), chạy proxy (để liên lạc với các máy chủ khai thác khác và máy chủ điều phối hoạt động khai thác), chạy proxy SOCKS dựa trên microSOCKS (để chấp nhận các máy chủ khai thác bên ngoài). kết nối qua SSH) và chuyển tiếp SSH (điểm xâm nhập chính bằng cách sử dụng tài khoản bị xâm nhập mà trên đó trình dịch địa chỉ được định cấu hình để chuyển tiếp tới mạng nội bộ). Khi kết nối với các máy chủ bị xâm nhập, kẻ tấn công đã sử dụng các máy chủ có proxy SOCKS và thường được kết nối thông qua Tor hoặc các hệ thống bị xâm nhập khác.
Nguồn: opennet.ru