Волна взломов суперкомпьютеров для майнинга криптовалюты

В нeскoлькиx крупныx вычислитeльныx клaстeрax, нaxoдящиxся в супeркoмпьютeрныx цeнтрax Вeликoбритaнии, Гeрмaнии, Швeйцaрии и Испaнии, выявлeны слeды взлoмoв инфрaструктуры и устaнoвки врeдoнoснoгo ПO интересах скрытoгo мaйнингa криптовалюты Monero (XMR). Доскональный разбор инцидентов пока недоступен, только по предварительным данным системы были скомпрометированы в результате кражи учётных данных с систем исследователей, имеющих ход на запуск заданий в кластерах (последнее наши дни многие кластеры предоставляют доступ сторонним исследователям, изучающим коронавирус SARS-CoV-2 и проводящим имитация процессов, связанных с инфекцией COVID-19). После всего получения доступа к кластеру в одном с случаев атакующие эксплуатировали уязвимость CVE-2019-15666 в ядре Linux для того получения root-доступа и установки руткита. Выделяется две инцидента, в ходе которых атакующие воспользовались учётными данными, захваченными у пользователей с Краковского университета (Польша), Шанхайского университета транспорта (Поднебесная (империя)) и Китайской научной сети. Как то есть были захвачены учётные данные до этого (времени не ясно, но на некоторых системах (безвыгодный на всех) жертв утечки паролей были выявлены подменённые исполняемые файлы SSH. В итоге, атакующие смогли выбить доступ к находящемуся в Великобритании (Эдинбургский заведение) кластеру Archer, занимающему 334 промежуток в Top500 крупнейших суперкомпьютеров. Следом не отличишь проникновения были выявлены в кластерах bwUniCluster 2.0 (Технологичный институт Карлсруэ, Германия), ForHLR II (Технологичный институт Карлсруэ, Германия), bwForCluster JUSTUS (Ульмский ситет, Германия), bwForCluster BinAC (Тюбингенский учреждение, Германия) и Hawk (Штутгартский университет, ФРГ). Позднее была подтверждена информация об инцидентах с безопасностью кластеров в Национальном суперкомпьютером центре Швейцарии (CSCS), Юлихском исследовательском центре (31 поприще в top500), Мюнхенском университете (Германия) и Компьютерном центре имени Лейбница (9, 85 и 86 места в Top500). К тому же того, от сотрудников получена доколе официально не подтверждённая информация о компрометации инфраструктуры Центра высокопроизводительных вычислений в Барселоне (Иберия). Анализ изменений показал, что нате скомпрометированные серверы загружались два вредоносных исполняемых файла, про которых был установлен флаг suid root: "/etc/fonts/.fonts" и "/etc/fonts/.low". Первостепенный представляет собой загрузчик для запуска shell-команд с привилегиями root, а второстепенный - чистильщик логов для удаления следов активности злоумышленников. Угоду кому) скрытия вредоносных компонентов использовались неодинаковые техники, включая установку руткита Diamorphine, загружаемого в форме модуля для того ядра Linux. После взлома хост был в силах использоваться для выполнения различных задач, таких равно как майнинг криптовалюты Monero (XMR), запуск прокси (для того взаимодействия с другими хостами, выполняющими майнинг, и сервером координирующим майнинг), включение SOCKS-прокси на базе microSOCKS (про приёма внешних соединений по SSH) и айсинг SSH (первичная точка проникновения при помощи скомпрометированной учётной склерозник, на которой настраивался транслятор адресов чтобы проброса во внутреннюю сеть). Близ подсоединении к взломанным узлам атакующие использовали хосты с SOCKS-прокси и, что правило, подключались через Tor или иные взломанные системы. Источник: http://www.opennet.ru/opennews/art.shtml?num=52973