在位于英国、德国、瑞士和西班牙超级计算中心的几个大型计算集群中, 基础设施黑客攻击和恶意软件安装的痕迹,用于隐藏挖掘门罗币(XMR)加密货币。 目前尚未对这些事件进行详细分析,但根据初步数据,系统受到损害的原因是有权在集群中运行任务的研究人员的系统中的凭据被盗(最近,许多集群提供了访问权限)第三方研究人员研究 SARS-CoV-2 冠状病毒并进行与 COVID-19 感染相关的过程建模)。 在其中一种情况下,攻击者在获得对集群的访问权限后,利用了该漏洞 在 Linux 内核中获取 root 访问权限并安装 rootkit。
在两起事件中,攻击者使用从克拉科夫大学(波兰)、上海交通大学(中国)和中国科学网用户处捕获的凭据。 凭证是从国际研究项目的参与者那里获取的,并用于通过 SSH 连接到集群。 目前尚不清楚凭据是如何被捕获的,但在密码泄露受害者的某些系统(不是全部)上,识别出了欺骗性的 SSH 可执行文件。
结果,攻击者 访问英国(爱丁堡大学)集群 在最大超级计算机334强中排名第500位。 以下类似的渗透是 集群中的 bwUniCluster 2.0(德国卡尔斯鲁厄理工学院)、ForHLR II(德国卡尔斯鲁厄理工学院)、bwForCluster JUSTUS(德国乌尔姆大学)、bwForCluster BinAC(德国图宾根大学)和 Hawk(斯图加特大学,德国)。
集群安全事件信息 (CSCS), ( 进入前 500 名), (德国)和 (, и 排名前 500 名)。 此外,从员工 有关西班牙巴塞罗那高性能计算中心基础设施遭到破坏的信息尚未得到官方证实。
变化
,两个恶意可执行文件被下载到受感染的服务器,并为其设置了 suid root 标志:“/etc/fonts/.fonts”和“/etc/fonts/.low”。 第一个是用于以 root 权限运行 shell 命令的引导加载程序,第二个是用于删除攻击者活动痕迹的日志清理器。 人们使用了各种技术来隐藏恶意组件,包括安装 rootkit。 ,作为 Linux 内核的模块加载。 在一种情况下,采矿过程只在晚上开始,以免引起注意。
一旦被黑客攻击,该主机可用于执行各种任务,例如挖掘门罗币(XMR)、运行代理(与其他挖掘主机和协调挖掘的服务器通信)、运行基于 microSOCKS 的 SOCKS 代理(以接受外部通过 SSH 连接)和 SSH 转发(使用受感染帐户的主要渗透点,在该帐户上配置了地址转换器以转发到内部网络)。 当连接到受感染的主机时,攻击者使用带有 SOCKS 代理的主机,并且通常通过 Tor 或其他受感染的系统进行连接。
来源: opennet.ru