在位於英國、德國、瑞士和西班牙超級運算中心的幾個大型運算集群中, 基礎設施駭客攻擊和惡意軟體安裝的痕跡,用於隱藏挖掘門羅幣(XMR)加密貨幣。 目前尚未對這些事件進行詳細分析,但根據初步數據,系統受到損害的原因是有權在叢集中運行任務的研究人員的系統中的憑證被盜(最近,許多叢集提供了存取權限)第三方研究人員研究SARS-CoV-2 冠狀病毒並進行與COVID-19 感染相關的過程建模)。 在其中一種情況下,攻擊者在獲得對叢集的存取權限後,利用了該漏洞 在 Linux 核心中取得 root 存取權限並安裝 rootkit。
在兩起事件中,攻擊者使用了從克拉科夫大學(波蘭)、上海交通大學(中國)和中國科學網用戶捕獲的憑證。 憑證是從國際研究計畫的參與者那裡獲得的,並用於透過 SSH 連接到集群。 目前尚不清楚憑證是如何被捕獲的,但在密碼洩露受害者的某些系統(不是全部)上,識別出了欺騙性的 SSH 可執行檔。
結果,攻擊者 訪問英國(愛丁堡大學)集群 在最大超級電腦334強中排名第500。 以下類似的滲透是 集群中的bwUniCluster 2.0(德國卡爾斯魯厄理工學院)、ForHLR II(德國卡爾斯魯厄理工學院)、bwForCluster JUSTUS(德國烏爾姆大學)、bwForCluster BinAC(德國圖賓根大學)和Hawk(斯圖加特大學,德國)。
叢集安全事件訊息 (CSCS), ( 進入前 500 名), (德國)和 (, и 排名前 500 名)。 此外,從員工 有關西班牙巴塞隆納高效能運算中心基礎設施遭到破壞的資訊尚未得到官方證實。
變化
,兩個惡意可執行檔被下載到受感染的伺服器,並為其設定了 suid root 標誌:「/etc/fonts/.fonts」和「/etc/fonts/.low」。 第一個是用於以 root 權限執行 shell 命令的引導程序,第二個是用於刪除攻擊者活動痕跡的日誌清理器。 人們使用了各種技術來隱藏惡意元件,包括安裝 rootkit。 ,作為 Linux 核心的模組載入。 在一種情況下,採礦過程只在晚上開始,以免引起注意。
一旦被駭客攻擊,該主機可用於執行各種任務,例如挖掘門羅幣(XMR)、運行代理(與其他挖掘主機和協調挖掘的伺服器通訊)、運行基於 microSOCKS 的 SOCKS 代理(以接受外部通過SSH連線)和SSH 轉送(使用受感染帳戶的主要滲透點,在該帳戶上配置了位址轉換器以轉送至內部網路)。 當連接到受感染的主機時,攻擊者使用具有 SOCKS 代理的主機,並且通常透過 Tor 或其他受感染的系統進行連接。
來源: opennet.ru