Home > General > Supercomputer Intrusions Melacak ke Cryptocurrency Miners

Supercomputer Intrusions Melacak ke Cryptocurrency Miners

///
Comments are Off
Supercomputer Intrusions Melacak ke Cryptocurrency Miners

Blockchain & Cryptocurrency
,
Pemberitahuan Pelanggaran
,
Kejahatan dunia maya

Kemungkinan Terkoneksi: Serangan Terhadap Sistem di AS, Inggris, Cina, Jerman dan Past

Supercomputer Intrusions Melacak ke Cryptocurrency Miners
Malware Linux ditemukan dalam beberapa insiden. (Sumber: Infrastruktur Jaringan Eropa CSIRT)

Hacker penambangan Cryptocurrency tampaknya berada di belakang serentetan superkomputer dan intrusi sistem komputasi kinerja tinggi baru-baru ini. Tetapi tidak jelas apakah para penyerang mungkin juga memiliki niat mencuri knowledge atau spionase.

Lihat juga: Webinar Langsung | Memerangi Penipuan Cyber: Praktik Terbaik untuk Meningkatkan Visibilitas dan Mengotomatiskan Respon Ancaman

Serangan terhadap laboratorium komputasi berkinerja tinggi, yang pertama kali terungkap pekan lalu, tampaknya telah menargetkan korban di Kanada, Cina, Amerika Serikat dan beberapa bagian Eropa, termasuk Inggris, Jerman dan Spanyol. Pakar keamanan mengatakan semua insiden tampaknya melibatkan penyerang yang menggunakan kredensial SSH yang dicuri dari pengguna yang sah, yang dapat mencakup peneliti di universitas dan konsorsium. SSH – alias Safe Shell atau Safe Socket Shell – adalah protokol jaringan kriptografi untuk menyediakan login jarak jauh yang aman, bahkan melalui jaringan yang tidak aman.

Superkomputer dan cluster berkinerja tinggi menawarkan kekuatan komputasi besar bagi para peneliti. Tetapi setiap penyerang yang dapat menyelinap malware cryptomining ke lingkungan seperti itu dapat menggunakannya untuk menambang untuk cryptocurrency, merujuk pada penyelesaian persamaan intensif komputasi dalam pertukaran untuk berpotensi mendapatkan mata uang digital sebagai hadiah.

Pada tanggal 11 Mei konsorsium bwHPC, yang terdiri dari para peneliti dan 10 universitas di negara bagian Baden-Württemberg, Jerman, melaporkan bahwa mereka telah mengalami "insiden keamanan" dan sebagai hasilnya membuat offline sejumlah superkomputer dan kluster.

Pada hari yang sama, Universitas Edinburgh mengambil offline sistem komputasi kinerja tinggi nasional AS, yang disebut ARCHER, karena "insiden keamanan," dan mencatat bahwa insiden serupa juga mempengaruhi lembaga penelitian di bagian lain Eropa (lihat: 'Insiden Keamanan' Mengetuk Supercomputer ARCHER Inggris Offline).

Foto: Inggris PEMANAH (Superior Analysis Computing Excessive Finish Useful resource) layanan supercomputing nasional

ARCHER adalah salah satu dari sejumlah lingkungan komputasi berkinerja tinggi yang tampaknya dihantam oleh para penyerang yang menyelundupkan dua bagian malware ke dalam sistem Linux: loader cryptomining-malware yang disebut "font" dan file pembersih log yang disebut "rendah," keduanya ditempatkan di direktori Linux "/ and so forth / fonts".

Pada hari-hari berikutnya, lebih banyak insiden keamanan seperti itu terungkap di Jerman, serta Spanyol dan Swiss ZDNet telah dilaporkan. Beberapa lingkungan komputasi berkinerja tinggi tampaknya telah diretas sejak Januari, Komputer Bleeping laporan.

Dua Kampanye Serang, Kemungkinan Terhubung

Pada hari Jumat, tim keamanan di Infrastruktur Jaringan Eropa, yang mengoordinasikan penelitian superkomputer di seluruh Eropa, mengatakan bahwa para anggotanya telah melihat serangan yang dilacak ke dua kampanye, yang mungkin terkait. Keduanya terjadi dalam jangka waktu yang sama dan melibatkan koneksi ke server penambangan monero yang sama, serta penyerang yang terhubung ke sistem yang ditargetkan pada waktu melalui server yang sama dikompromikan di Polandia, meskipun server lain juga digunakan.

Namun, hanya seri kedua insiden yang tampaknya melibatkan penggunaan malware Linux.

Seri pertama serangan yang dilaporkan oleh anggota EGI ditelusuri ke kelompok jahat yang telah menabrak laboratorium HPC di Kanada dan Amerika Serikat, serta Cina dan Eropa, untuk menginstal perangkat lunak penambangan CPU. "Penyerang terhubung ke host-host ini melalui SSH, sering dari Tor," kata EGI dalam peringatan keamanannya, mencatat bahwa "penyerang melompat dari satu korban ke yang lain menggunakan kredensial SSH yang dikompromikan."

Dalam setidaknya satu serangan, "aktivitas XMR (monero) berbahaya dikonfigurasikan untuk beroperasi hanya pada malam hari untuk menghindari deteksi," katanya.

Sebagai dasar serangan, para peretas menggunakan sistem yang dikompromikan di Universitas Negeri New York di Stony Brook, UCLA, Universitas Toronto, Universitas Freiburg Jerman, Jaringan Sains dan Teknologi Cina – CSTNET – dan juga Universitas Polandia di Krakow , Kata EGI.

Linux Malware

Dalam serangkaian serangan kedua, "sebuah kelompok jahat saat ini menargetkan pusat knowledge akademik untuk tujuan yang tidak diketahui," kata EGI. "Penyerang melompat dari satu korban ke korban lain menggunakan kredensial SSH yang dikompromikan."

Penyerang masuk ke sistem yang ditargetkan, kata EGI, melalui sistem yang dikompromikan di Universitas Krakow, Universitas Shanghai Jiaotong dan CSTNET di Cina.

Penyerang menggunakan dua buah malware, ditempatkan di direktori font Linux: .fonts, yang pada kenyataannya adalah file SUID – untuk mengatur hak akses pengguna – yang dirancang untuk memungkinkan penyerang untuk mengeksekusi file mereka dengan hak akses root, dan .low, yang merupakan file pembersih log yang dirancang untuk menghapus jejak penyerang.

"Saya bekerja di HPC di Inggris," satu Pengguna Slashdot diposting pada hari Rabu. "Kemarin saya harus mencabut semua sertifikat SSH di sistem kami karena sayangnya beberapa … pengguna fool telah menggunakan kunci pribadi tanpa kode sandi. Ini telah digunakan (oleh penyerang) untuk melompat dari sistem ke sistem karena banyak pengguna HPC memiliki akun di sistem yang berbeda. Mereka mengelola (untuk mencapai) eskalasi hak istimewa lokal pada beberapa sistem dan kemudian mencari kunci SSH yang lebih tidak aman untuk beralih ke sistem lain. Mereka mungkin menggunakan satu atau lebih metode untuk eskalasi hak istimewa, mungkin CVE-2019-15666. "

CVE-2019-15666 adalah cacat akses array di luar batas dalam versi kernel Linux sebelum 5.0.19; versi saat ini adalah 5.0.21.

"Saat ini, fasilitas nasional Inggris ARCHER sedang offline karena mereka telah mengalami eksploitasi root," tambah poster Slashdot. "Para aktor berasal dari alamat IP berikut: 202.120.32.231 dan 159.226.161.107."

Secara terpisah, EGI pada hari Jumat mengikat alamat IP tersebut ke akun pengguna yang dieksploitasi di Universitas Shanghai Jiaotong dan CSTN.

Peneliti keamanan Tillmann Werner (@nunohaien) telah merilis aturan untuk penelitian malware Yara dan alat deteksi yang dapat digunakan untuk mendeteksi tanda-tanda serangan ini.

Robert Helling (@atdotde), seorang fisikawan yang bekerja di Leibniz Supercomputing Middle di Jerman, menggunakan alat rekayasa balik free of charge Badan Keamanan Nasional Ghidra untuk mendekompilasi pemuat dan pembersih dan menemukan daftar jenis file spesifik yang ditargetkan.

Sampel dari loader dan file pembersih telah diunggah ke layanan pemindaian virus-VirusTotal oleh pengguna di Jerman, Spanyol, Swiss dan Inggris, yang berarti bahwa mungkin ada organisasi korban di semua negara, antara lain, kata Chris Doman, salah satu pendiri vendor alat respon insiden komputer cloud yang berbasis di London, dalam sebuah posting weblog.

"Pembersihnya cukup halus, dan menghilangkan jejak penyerang dari sejumlah file log," katanya.

Motivasi nyata: Cryptomining

FBI pekan lalu memperingatkan bahwa peretas Cina telah menargetkan penelitian industri akademik dan farmasi ke dalam terapi COVID-19 (lihat: AS Mengatakan Penargetan Peretas Yang Terkait Tautan Cina-COVID-19 Peneliti).

Tetapi penemuan malware penambangan cryptocurrency pada sistem dikompromikan sebagai bagian dari dua insiden keamanan yang dirinci oleh EGI berarti bahwa "lebih mungkin ini adalah kejahatan, serangan bermotivasi finansial," daripada upaya spionase, kata Doman.

Sementara itu, kelompok-kelompok komputasi kinerja tinggi yang terkena dampak masih mencoba untuk membersihkan dan memulihkan sistem mereka.

Pada hari Senin, misalnya, ARCHER Inggris tetap offline, karena administrator berupaya menerbitkan kembali kata sandi dan kunci SSH baru untuk semua pengguna.

"Ketika ARCHER kembali ke layanan, semua pengguna akan diminta untuk menggunakan dua kredensial untuk mengakses layanan: kunci SSH dengan frasa sandi dan kata sandi ARCHER mereka," kata administrator ARCHER di hari Jumat pembaruan layanan. "Sangat penting bahwa Anda tidak menggunakan kembali kata sandi atau kunci SSH yang sebelumnya digunakan dengan frasa sandi."

Pelaku Potensi: Grup Watchbog

Costin Raiu, direktur tim riset dan analisis international Kaspersky, mengatakan para penyerang mungkin terhubung dengan kelompok Watchbog, yang sebelumnya dikaitkan dengan serangan yang menggunakan malware Linux untuk menyalakan botnet cryptomining-nya.

"Watchbog botnet menambang cryptocurrency monero untuk pemiliknya," peneliti keamanan Luke DuCharme dan Paul Lee di Cisco Talos mengatakan dalam posting weblog September 2019 yang menggambarkan satu serangan oleh kelompok kejahatan terhadap sebuah organisasi, yang terkenal sebagian karena penggunaan SSH yang banyak oleh para penyerang.

Cisco Talos menemukan bahwa para penyerang pertama kali mengeksploitasi kerentanan yang diketahui, CVE-2018-1000861, di server otomatisasi open supply Jenkins untuk mendapatkan akses jarak jauh ke organisasi dan menginstal malware Watchbog mereka.

Begitu mereka mendapatkan pijakan, para penyerang menggunakan skrip bash untuk bergerak ke samping melintasi jaringan yang dikompromikan. Skrip mereka "mengambil konten file known_hosts pada sistem yang terinfeksi" – merujuk pada daftar sistem dari sistem lain yang dikenal baik – "dan kemudian mencoba untuk SSH ke dalam sistem tersebut." Selain itu, skrip mereka "juga memeriksa keberadaan kunci SSH dan memanfaatkannya untuk mengotentikasi ke sistem dalam file known_hosts." Untuk serangan khusus ini, jika upaya itu berhasil, skrip mengambil konten dari URL Pastebin untuk melanjutkan proses infeksi.

Mengamati tingkat lalu lintas SSH yang tidak terduga dapat membantu mengungkap jenis serangan ini, kata Cisco Talos.

"Tetapkan garis dasar untuk lalu lintas jaringan inner dan jika ada penyimpangan yang signifikan terjadi, identifikasi dan selidiki mereka – bahkan jika ada teori yang ada untuk kegiatan tersebut," itu merekomendasikan. "Dalam hal ini, Watchbog menghasilkan lonjakan nyata dalam lalu lintas SSH organisasi."

. (tagsToTranslate) cybersecurity (t) keamanan informasi (t) superkomputer (t) cryptomining (t) komputasi kinerja tinggi (t) superkomputer (t) monero (t) cryptocurrency

You may also like
AS meluncurkan kerangka kerja penegakan untuk memerangi teroris, aktivitas cryptocurrency kriminal

AS meluncurkan kerangka kerja penegakan untuk memerangi teroris, aktivitas cryptocurrency kriminal

lebar = 800

Trending sekarang: Dampak Covid-19 pada Pertumbuhan Pasar Cryptocurrency, Segmen, Pendapatan, Produsen & Laporan Riset Perkiraan

Pasar Perangkat Lunak Cryptocurrency Remittance, pemain utama, ukuran, Analisis, pertumbuhan, penelitian, Jenis, Wilayah, dan Prakiraan dari 2020-2024

Pasar Perangkat Lunak Cryptocurrency Remittance, pemain utama, ukuran, Analisis, pertumbuhan, penelitian, Jenis, Wilayah, dan Prakiraan dari 2020-2024

Cryptocurrency Market 2020: Potensi pertumbuhan, valuasi menarik menjadikannya investasi jangka panjang | Ketahui Dampak COVID19 | Pemain Top: Bitmain Technologies Ltd., NVIDIA, Advanced Micro Devices, Inc., Xilinx, dll.