Suicide
18.05.2020, 19:08
В нескольких крупных вычислительных кластерах, находящихся в суперкомпьютерных центрах Великобритании, Германии, Швейцарии и Испании, выявлены (https://www.cadosecurity.com/2020/05/16/1318/) следы взломов инфраструктуры и установки вредоносного ПО для скрытого майнинга криптовалюты Monero (XMR). Детальный разбор инцидентов пока недоступен, но по предварительным данным системы были скомпрометированы в результате кражи учётных данных с систем исследователей, имеющих доступ на запуск заданий в кластерах (последнее время многие кластеры предоставляют доступ сторонним исследователям, изучающим коронавирус SARS-CoV-2 и проводящим моделирование процессов, связанных с инфекцией COVID-19). После получения доступа к кластеру в одном из случаев атакующие эксплуатировали уязвимость CVE-2019-15666 (https://security-tracker.debian.org/tracker/CVE-2019-15666) в ядре Linux для получения root-доступа и установки руткита.
Выделяется (https://csirt.egi.eu/academic-data-centers-abused-for-crypto-currency-mining/) два инцидента, в ходе которых атакующие воспользовались учётными данными, захваченными у пользователей из Краковского университета (Польша), Шанхайского университета транспорта (Китай) и Китайской научной сети. Учётные данные были захвачены у участников международных исследовательских программ и использовались для подключения к кластерам по SSH. Как именно были захвачены учётные данные пока не ясно, но на некоторых системах (не на всех) жертв утечки паролей были выявлены подменённые исполняемые файлы SSH.
В итоге, атакующие смогли (http://www.archer.ac.uk/status/) получить (https://www.theregister.co.uk/2020/05/13/uk_archer_supercomputer_cyberattack/) доступ к находящемуся в Великобритании (Эдинбургский университет) кластеру Archer (https://www.top500.org/site/50487), занимающему 334 место в Top500 крупнейших суперкомпьютеров. Следом похожие проникновения были выявлены (https://www.bwhpc.de/news.html) в кластерах bwUniCluster 2.0 (Технологический институт Карлсруэ, Германия), ForHLR II (Технологический институт Карлсруэ, Германия), bwForCluster JUSTUS (Ульмский университет, Германия), bwForCluster BinAC (Тюбингенский университет, Германия) и Hawk (Штутгартский университет, Германия). Позднее была подтверждена информация об инцидентах с безопасностью кластеров в Национальном суперкомпьютером центре Швейцарии (https://www.cscs.ch/publications/news/2020/shutdown-after-cyber-incident/) (CSCS), Юлихском исследовательском центре (https://dispatch.fz-juelich.de:8812/HIGHMESSAGES) (31 место (https://www.top500.org/site/47871) в top500), Мюнхенском университете (https://atdotde.blogspot.com/2020/05/high-performance-hackers.html) (Германия) и Компьютерном центре имени Лейбница (https://www.lrz.de/aktuell/ali00856.html) (9 (https://www.top500.org/system/179566), 85 (https://www.top500.org/site/48248) и 86 (https://www.top500.org/site/48248) места в Top500). Кроме того, от сотрудников получена (https://blog.fefe.de/?ts=a04505b4) пока официально не подтверждённая информация о компрометации инфраструктуры Центра высокопроизводительных вычислений в Барселоне (Испания).
Анализ (https://atdotde.blogspot.com/2020/05/high-performance-hackers.html) изменений показал (https://csirt.egi.eu/academic-data-centers-abused-for-crypto-currency-mining/), что на скомпрометированные серверы загружались два вредоносных исполняемых файла, для которых был установлен флаг suid root: "/etc/fonts/.fonts" и "/etc/fonts/.low". Первый представляет собой загрузчик для запуска shell-команд с привилегиями root, а второй - чистильщик логов для удаления следов активности злоумышленников. Для скрытия вредоносных компонентов использовались различные техники, включая установку руткита Diamorphine (https://github.com/m0nad/Diamorphine), загружаемого в форме модуля для ядра Linux. В одном случае процесс майнинга запускался только в ночное время, чтобы не привлекать внимание.
После взлома хост мог использоваться для выполнения различных задач, таких как майнинг криптовалюты Monero (XMR), запуск прокси (для взаимодействия с другими хостами, выполняющими майнинг, и сервером координирующим майнинг), запуск SOCKS-прокси на базе microSOCKS (для приёма внешних соединений по SSH) и проброс SSH (первичная точка проникновения при помощи скомпрометированной учётной записи, на которой настраивался транслятор адресов для проброса во внутреннюю сеть). При подсоединении ко взломанным узлам атакующие использовали хосты с SOCKS-прокси и, как правило, подключались через Tor или другие взломанные системы.
17.05.2020
https://www.opennet.ru/opennews/art.shtml?num=52973
Выделяется (https://csirt.egi.eu/academic-data-centers-abused-for-crypto-currency-mining/) два инцидента, в ходе которых атакующие воспользовались учётными данными, захваченными у пользователей из Краковского университета (Польша), Шанхайского университета транспорта (Китай) и Китайской научной сети. Учётные данные были захвачены у участников международных исследовательских программ и использовались для подключения к кластерам по SSH. Как именно были захвачены учётные данные пока не ясно, но на некоторых системах (не на всех) жертв утечки паролей были выявлены подменённые исполняемые файлы SSH.
В итоге, атакующие смогли (http://www.archer.ac.uk/status/) получить (https://www.theregister.co.uk/2020/05/13/uk_archer_supercomputer_cyberattack/) доступ к находящемуся в Великобритании (Эдинбургский университет) кластеру Archer (https://www.top500.org/site/50487), занимающему 334 место в Top500 крупнейших суперкомпьютеров. Следом похожие проникновения были выявлены (https://www.bwhpc.de/news.html) в кластерах bwUniCluster 2.0 (Технологический институт Карлсруэ, Германия), ForHLR II (Технологический институт Карлсруэ, Германия), bwForCluster JUSTUS (Ульмский университет, Германия), bwForCluster BinAC (Тюбингенский университет, Германия) и Hawk (Штутгартский университет, Германия). Позднее была подтверждена информация об инцидентах с безопасностью кластеров в Национальном суперкомпьютером центре Швейцарии (https://www.cscs.ch/publications/news/2020/shutdown-after-cyber-incident/) (CSCS), Юлихском исследовательском центре (https://dispatch.fz-juelich.de:8812/HIGHMESSAGES) (31 место (https://www.top500.org/site/47871) в top500), Мюнхенском университете (https://atdotde.blogspot.com/2020/05/high-performance-hackers.html) (Германия) и Компьютерном центре имени Лейбница (https://www.lrz.de/aktuell/ali00856.html) (9 (https://www.top500.org/system/179566), 85 (https://www.top500.org/site/48248) и 86 (https://www.top500.org/site/48248) места в Top500). Кроме того, от сотрудников получена (https://blog.fefe.de/?ts=a04505b4) пока официально не подтверждённая информация о компрометации инфраструктуры Центра высокопроизводительных вычислений в Барселоне (Испания).
Анализ (https://atdotde.blogspot.com/2020/05/high-performance-hackers.html) изменений показал (https://csirt.egi.eu/academic-data-centers-abused-for-crypto-currency-mining/), что на скомпрометированные серверы загружались два вредоносных исполняемых файла, для которых был установлен флаг suid root: "/etc/fonts/.fonts" и "/etc/fonts/.low". Первый представляет собой загрузчик для запуска shell-команд с привилегиями root, а второй - чистильщик логов для удаления следов активности злоумышленников. Для скрытия вредоносных компонентов использовались различные техники, включая установку руткита Diamorphine (https://github.com/m0nad/Diamorphine), загружаемого в форме модуля для ядра Linux. В одном случае процесс майнинга запускался только в ночное время, чтобы не привлекать внимание.
После взлома хост мог использоваться для выполнения различных задач, таких как майнинг криптовалюты Monero (XMR), запуск прокси (для взаимодействия с другими хостами, выполняющими майнинг, и сервером координирующим майнинг), запуск SOCKS-прокси на базе microSOCKS (для приёма внешних соединений по SSH) и проброс SSH (первичная точка проникновения при помощи скомпрометированной учётной записи, на которой настраивался транслятор адресов для проброса во внутреннюю сеть). При подсоединении ко взломанным узлам атакующие использовали хосты с SOCKS-прокси и, как правило, подключались через Tor или другие взломанные системы.
17.05.2020
https://www.opennet.ru/opennews/art.shtml?num=52973