ANTICHAT — форум по информационной безопасности, OSINT и технологиям

В нескольких крупных вычислительных кластерах, находящихся в суперкомпьютерных центрах Великобритании, Германии, Швейцарии и Испании, выявлены следы взломов инфраструктуры и установки вредоносного ПО для скрытого майнинга криптовалюты Monero (XMR). Детальный разбор инцидентов пока недоступен, но по предварительным данным системы были скомпрометированы в результате кражи учётных данных с систем исследователей, имеющих доступ на запуск заданий в кластерах (последнее время многие кластеры предоставляют доступ сторонним исследователям, изучающим коронавирус SARS-CoV-2 и проводящим моделирование процессов, связанных с инфекцией COVID-19). После получения доступа к кластеру в одном из случаев атакующие эксплуатировали уязвимость CVE-2019-15666 в ядре Linux для получения root-доступа и установки руткита.

Выделяется два инцидента, в ходе которых атакующие воспользовались учётными данными, захваченными у пользователей из Краковского университета (Польша), Шанхайского университета транспорта (Китай) и Китайской научной сети. Учётные данные были захвачены у участников международных исследовательских программ и использовались для подключения к кластерам по SSH. Как именно были захвачены учётные данные пока не ясно, но на некоторых системах (не на всех) жертв утечки паролей были выявлены подменённые исполняемые файлы SSH.

В итоге, атакующие смогли получить доступ к находящемуся в Великобритании (Эдинбургский университет) кластеру Archer, занимающему 334 место в Top500 крупнейших суперкомпьютеров. Следом похожие проникновения были выявлены в кластерах bwUniCluster 2.0 (Технологический институт Карлсруэ, Германия), ForHLR II (Технологический институт Карлсруэ, Германия), bwForCluster JUSTUS (Ульмский университет, Германия), bwForCluster BinAC (Тюбингенский университет, Германия) и Hawk (Штутгартский университет, Германия). Позднее была подтверждена информация об инцидентах с безопасностью кластеров в Национальном суперкомпьютером центре Швейцарии (CSCS), Юлихском исследовательском центре (31 место в top500), Мюнхенском университете (Германия) и Компьютерном центре имени Лейбница (9, 85 и 86 места в Top500). Кроме того, от сотрудников получена пока официально не подтверждённая информация о компрометации инфраструктуры Центра высокопроизводительных вычислений в Барселоне (Испания).

Анализ изменений показал, что на скомпрометированные серверы загружались два вредоносных исполняемых файла, для которых был установлен флаг suid root: "/etc/fonts/.fonts" и "/etc/fonts/.low". Первый представляет собой загрузчик для запуска shell-команд с привилегиями root, а второй - чистильщик логов для удаления следов активности злоумышленников. Для скрытия вредоносных компонентов использовались различные техники, включая установку руткита Diamorphine, загружаемого в форме модуля для ядра Linux. В одном случае процесс майнинга запускался только в ночное время, чтобы не привлекать внимание.

После взлома хост мог использоваться для выполнения различных задач, таких как майнинг криптовалюты Monero (XMR), запуск прокси (для взаимодействия с другими хостами, выполняющими майнинг, и сервером координирующим майнинг), запуск SOCKS-прокси на базе microSOCKS (для приёма внешних соединений по SSH) и проброс SSH (первичная точка проникновения при помощи скомпрометированной учётной записи, на которой настраивался транслятор адресов для проброса во внутреннюю сеть). При подсоединении ко взломанным узлам атакующие использовали хосты с SOCKS-прокси и, как правило, подключались через Tor или другие взломанные системы.