近日,欧洲突然曝出多达十数台超级计算机感染恶意挖矿软件,沦为挖矿肉鸡。
超级计算机沦为挖矿肉鸡
据悉周一英国爱丁堡大学首先公布了ARCHER超级计算机遭到攻击的报告,表示关闭ARCHER的系统进行调查,并且为了防止再次被攻击,重置了SSH(安全外壳协议)密码。
同一天德国超级计算机管理组织bwHPC宣布因为类似的安全问题,旗下5台超级计算机/高性能计算集群bwUniCluster2.0、ForHLRII、bwForClusterJUSTUS、bwForClusterBinAC、Hawk现起关闭。
本周三安全研究员FelixvonLeitner在博客中称,位于西班牙巴塞罗那的一台超级计算机也受到安全问题的影响,因此被关闭。
周四更多被感染的超级计算机浮出水面,巴伐利亚科学院下属的莱布尼兹计算中心当天表示因为安全漏洞,其管理的计算集群断开互联网连接。
当天晚些时候,德国朱利希研究中心紧接着表示由于发生“IT安全事件”,必须关闭旗下JURECA,JUDAC和JUWELS超级计算机。
就在昨天瑞士苏黎世的瑞士科学计算中心也表示在直到外部环境安全之前,将持续关闭其超级计算机的外部访问。
目前尚不清楚究竟是什么人或组织实施了这些攻击,但据安全公司分析,黑客是通过窃取SSH凭证获得了超级计算机的访问权限,而大学内部人士因为有权访问这些超级计算机而最有嫌疑。
实际上被劫持的SSH登录名分别属于加拿大、中国和波兰的大学。
而且虽然没有证据证明所有的攻击都是由同一组织实施的,但所有恶意软件的文件名和网络指示器都证明它们的源头可能是同一个地方。
挖矿僵尸入侵
日前,腾讯御见威胁情报中心通报了一起H2Miner黑产团伙利用SaltStack漏洞控制服务器挖矿的入侵案例。
据悉,腾讯安全威胁情报中心于年05月03日检测到H2Miner木马利用SaltStack远程命令执行漏洞(CVE--、CVE--)入侵企业主机进行挖矿。
通过对木马的核心脚本以及可执行文件的对比分析,确认了此次攻击行动属于挖矿木马家族H2Miner。
据了解,H2Miner是一个linux下的挖矿僵尸网络,通过hadoopyarn未授权、docker未授权、confluenceRCE、thinkphp5RCE、Redis未授权等多种手段进行入侵,下载恶意脚本及恶意程序进行挖矿牟利,横向扫描扩大攻击面并维持CC通信。
腾讯安全威胁情报中心大数据统计结果显示,H2Miner利用SaltStack漏洞的攻击自5月3日开始,目前呈快速增长趋势。H2Miner挖矿木马运行时会尝试卸载服务器的安全软件,清除服务器安装的其他挖矿木马,以独占服务器资源。目前,H2Miner黑产团伙通过控制服务器进行门罗币挖矿已非法获利超万元。
Saltstack是基于python开发的一套C/S自动化运维工具。近日,SaltStack被爆存在认证绕过漏洞(CVE--)和目录遍历漏洞(CVE--),其中:
CVE--:为认证绕过漏洞,攻击者可构造恶意请求,绕过SaltMaster的验证逻辑,调用相关未授权函数功能,达到远程命令执行目的。
CVE--:为目录遍历漏洞,攻击者可构造恶意请求,读取服务器上任意文件,获取系统敏感信息信息。
快科技了解到,此次入侵导致不少CDN平台服务商平台出现故障,进而导致多家网站访问受到影响。
(编辑:Mon)
点击下方阅读原文,
