Волна взломов суперкомпьютеров для майнинга криптовалюты
В нескольких крупных вычислительных кластерах, находящихся в суперкомпьютерных центрах Великобритании, Германии, Швейцарии и Испании, выявлены следы взломов инфраструктуры и установки вредоносного ПО для скрытого майнинга криптовалюты Monero (XMR). Детальный разбор инцидентов пока недоступен, но по предварительным данным системы были скомпрометированы в результате кражи учётных данных с систем исследователей, имеющих доступ на запуск заданий в кластерах (последнее время многие кластеры предоставляют доступ сторонним исследователям, изучающим коронавирус SARS-CoV-2 и проводящим моделирование процессов, связанных с инфекцией COVID-19). После получения доступа к кластеру в одном из случаев атакующие эксплуатировали уязвимость CVE-2019-15666 в ядре Linux для получения root-доступ и установки руткита.

inb4 недавний saltstack rce

Как связаны дыры солта с CVE-2019-15666?

олсо, вряд ли только солтом живы

если это были несколько разных "суперкомпьютеров", то наверняка у них были разные учётные записи для пользователей, при этом если они заразились в одно время, это может указывать на схожую инфраструктуру, где сабж мог использоваться; всё это спекуляции, да, просто инциденту с солтом всего две недели и он тоже закончился руткитом с майнерами xmr на всех устройствах; cve могло использоваться для закрепления если миньоны работали без рута

Если они давали локальную учётку для заданий про вирус, то дальше просто нашли незакрытую дыру в ядре, тоже вариант ж

чето как обычно, устал я уже от этих сообщений "про безопасность"

в сообщении в описании CVE сказано что нужен root или CAP_NET_ADMIN
и CVE типа вызывает креш системы
то есть креш нужен чтобы руткит посадить? ;) а чО так сложно? без креша руткит не подсадить уже?

чтобы этот CVE сработа

вот стопудово, тупо ipv4 сканинили и пароли перебирали
или  ssh ключи стащили с тачек "рисерчеров"

Ключи с компов работников увели (малварью/руткитом/whatever) после захода на подломанный черношляпником сайт. Обычно у ученых это свой какой-то форум, тут на днях видел CVE про дырку в bbs форумах, так что оно живее всех живых как вектор.

Далее, учетка позволяет подключиться, если система подключена к Интернет. (Собственно из-за этого некоторые суперкомпы отключили от сети)

Далее нужна LPE, чтобы установить руткит - это CVE-2019-15666, про корую белым по черному написано в ее описании, что требуется минимальное количество знаний для эксплуатации.

Далее берется какой-нибудь солт или паппит, используемый для масс-контроля админами, и заряжается в роли транпорта для доставки руткита в остальные машины.

Основной триггер всей этой истории - облачники более менее научились бороться с майнерами, поэтому спрос черношляпников на голое железо сфокусировался на ученых

(сам ответил на свой вопрос, пойду возьму с полки пирожок)

> Далее нужна LPE, чтобы установить руткит - это CVE-2019-15666, про корую белым по черному написано в ее описании, что требуется минимальное количество знаний для эксплуатации.

а можно пруф про LPE в CVE-2019-15666? ;)
потому что я уже 5 определений прочитал ... и там везде сказано про Denial Of Service
но не сказано про Local Privilege Escalation
я понимаю что многого прошу

Как маленький. Просто поверь :) даже зная как взломали сервер я никогда не знал что это за cve. Подозреваю я не один такой.

https://duasynt.com/pub/vnik/01-0311-2018.pdf
This report presents technical analysis of the 0-day UAF 8-byte write (in the XFRM subsystem) leading to privilege escalation.

Евгению надо полгодика постажироваться VM’щиком в ИБ отделе, после этого такие вопросы его больше не будут беспокоить ))

Это довольно рутинная работа, не требующая особых умений, но очень познавательная по специфике )

В этом чате есть мемберы ITU?

кстати вот доработанный сплоит https://github.com/duasynt/xfrm_poc

о, красиво
спасибо