Ktoś przez 5 miesięcy (!) podsłuchiwał hasła użytkowników centrum obliczeniowego UW
Według otrzymanych przez nas informacji od września 2019 ktoś podsłuchiwał loginy i hasła użytkowników jednego z największych klastrów maszyn obliczeniowych w Polsce, zarządzanego przez Uniwersytet Warszawski.
Interdyscyplinarne Centrum Modelowania Matematycznego i Komputerowego pewnie większości z Was znane jest głównie z modelu pogodowego dostępnego pod adresem meteo.pl. Oprócz obliczania, kiedy będzie padał deszcz, prowadzi wiele bardzo zaawansowanych projektów i zarządza sporą infrastrukturą obliczeniową. Jej element stanowi m.in. superkomputer Okeanos, czyli Cray XC40. Zbudowany jest z ponad 1000 węzłów obliczeniowych (dwa 12-rdzeniowe procesory Intel Xeon Haswell i 128 GB pamięci RAM każdy). Jak pisze sam ICM:
Okeanos najlepiej sprawdza się w obliczeniach wielkoskalowych, które w pojedynczym przebiegu wymagają zastosowania kilku tysięcy rdzeni obliczeniowych oraz kilkudziesięciu terabajtów pamięci operacyjnej.
Niestety od września 2019 do lutego 2020 ktoś podsłuchiwał loginy i hasła użytkowników serwera dostępowego do tej właśnie infrastruktury.
Poważny incydent
Od jednego z naszych Czytelników dostaliśmy dokument, który użytkownicy klastra otrzymali od pełnomocnika ds. ochrony danych osobowych ICM-u. Tytuł brzmi „Zawiadomienie o naruszeniu ochrony danych osobowych”.
Oto jego kluczowy fragment:
Prawdopodobnie w dniu 6.09.2019 nieznany sprawca dokonał przełamania zabezpieczeń informatycznych i uzyskał nieuprawniony dostęp do serwera należącego do ICM UW, znajdującego się pod adresem „hpc.icm.edu.pl” (dalej: serwer). Sprawca dokonał podmiany klienta i serwera SSH na zaatakowanym serwerze w celu gromadzenia danych użytkowników logujących się na serwerze w okresie od 6.09.2019 do 11.02.2020 r. Dane te były gromadzone na zaatakowanym serwerze w lokalnym zaszyfrowanym pliku, który następnie mógł zostać pobrany przez sprawcę. Zakres Państwa danych osobowych, który mógł zostać wykradziony przez sprawcę obejmuje: imię, nazwisko, login systemowy oraz hasło dostępowe do serwera.
Wagę tego incydentu determinuje kilka czynników.
Po pierwsze, aby lepiej zrozumieć problem, warto poznać rolę serwera hpc.icm.edu.pl. To maszyna znana także jako login.icm.edu.pl, za pomocą której użytkownicy klastrów dostają się do narzędzi umożliwiających zarządzanie zadaniami obliczeniowymi. Loginy i hasła wykradzione w tym miejscu umożliwiają m.in. zapoznanie się ze zleconymi obliczeniami i ich wynikami, a obliczenia na klastrach ICM-u prowadzą naukowcy z wielu ośrodków badawczych.
Po drugie, z komunikatu jasno wynika, że do włamania doszło najpóźniej we wrześniu 2019. Podsłuchiwanie użytkowników serwera trwało zatem ponad pięć (!) miesięcy, zanim ktokolwiek się zorientował. Nie mówimy tu o przypadkowym serwerze zarządzającym dostępem do schowka na miotły – mówimy o serwerze zarządzającym dostępem do jednego z największych polskich centrów obliczeniowych.
Po trzecie, z komunikatu jasno wynika, że włamywacz nie tylko uzyskał nieautoryzowany dostęp do serwera, ale także zdobył uprawnienia administratora serwera (bez tego nie mógłby podmienić serwera i klienta SSH). Oprócz loginów i haseł użytkowników mógł zatem podsłuchiwać także loginy i hasła administratorów (o ile takich używali, o czym za moment), mógł także próbować uzyskać dostęp do innych serwerów. Co ważne, podsłuchiwać mógł także loginy i hasła na innych serwerach – z komunikatu wynika, że podmienił także klienta SSH.
Hasła do SSH? Który to rok?
Jak bardziej świadoma technologicznie część naszych czytelników wie, logowanie SSH za pomocą loginu i hasła to przeżytek. Od wielu już lat bezpiecznym standardem jest logowanie za pomocą klucza. Klucz prywatny zostaje na stacji użytkownika, klucz publiczny wgrywany jest na serwer docelowy i nawet podsłuchanie całego połączenia nie pomoże włamywaczowi w przechwyceniu danych niezbędnych do podszycia się pod użytkownika na innej maszynie (mając uprawnienia administratora, może się pod niego podszyć na przejętej maszynie). Część użytkowników zaatakowanego serwera korzystała z tej opcji – jednak niestety nie była ona wymuszona domyślnie dla wszystkich. Biorąc pod uwagę rodzaj serwera i zarządzane za jego pomocą zasoby, jest to co najmniej dziwne. Pozostaje mieć nadzieję, że przynajmniej administratorzy korzystali z kluczy i unikatowych haseł.
Niestety użytkownicy, którzy korzystali z logowania za pomocą loginu i hasła, mogą się spodziewać, że wszędzie, gdzie używali tego samego loginu i hasła, ktoś już zajrzał i cokolwiek trzymali tam ciekawego, to zostało już wykradzione. Co więcej, jeśli za pomocą przejętego serwera logowali się gdziekolwiek (także za pomocą klucza), te dane też mogły zostać przejęte przez podmienionego klienta SSH i wykorzystane.
Kto, jak i po co
Ujawniony incydent jest co najmniej ciekawy. Ktoś włamuje się na kluczowy serwer instytucji badawczej i – ryzykując wykrycie – podmienia serwer i klienta kluczowej usługi, by zdobyć hasła użytkowników. Nie chodziło zatem o jednorazową kradzież danych, a raczej o operację zbierania informacji o dłuższym horyzoncie czasowym. Oczywiście wiele lat temu starodawni hakerzy, których celem była satysfakcja i zabawa, na każdym przejętym serwerze zbierali hasła, by potem za ich pomocą zdobywać dostęp do kolejnych serwerów itd. Te czasy jednak odeszły już dawno w niepamięć i większości atakujących można dzisiaj przypisać cele materialne. Nie sposób dzisiaj powiedzieć, kto mógł stać za tym atakiem – może ICM stanie na wysokości zadania, przeprowadzi porządną analizę powłamaniową i opublikuje – w akademickim duchu jawności – jej wyniki.
Wysłaliśmy w tej sprawie kilka pytań do UW – mamy nadzieję, że dostaniemy odpowiedź, którą będziemy mogli opublikować. Jeśli sami wiecie więcej, zapraszamy do kontaktu.
Podobne wpisy
- Jak ukraść 600 koparek, czyli Iceland Big Bitcoin Heist
- Jak wygląda zaawansowane włamanie krok po kroku – raport z incydentu
- Włamał się do banku, ukradł pieniądze, opublikował raport z włamania
- Jak NordVPN przez rok udawał, że wcale go nikt nie zhakował
- Avast zhakowany, ale wykrył atak i usunął intruza
Nie koniecznie mial roota, mogl „zatruc” repozytoria pakietow – mozliwe ze UW ma wlasne, niespecjalnie bezpieczne. Moze obraz systemu byl skompromitowany? Pozdro
Jakby można było obstawiać zakłady, to stawiałbym na Chińczyków.
Chyba raczej sprawka Iranu.
https://www.cyberdefence24.pl/zachodnie-uczelnie-na-celowniku-iranskich-hakerow
Przez 3 miesiące ktoś podsłuchiwał Genowefę Kowalską, czołową plotkarkę w mieście. To poważny incydent, bo nikt nie wie na czyj temat i które plotki wypłynęły.
PS.
Przecież to budżetówka, więc nie powinno to nikogo dziwić.
Jak do tego doszlo nie wiem, wszak nie od dzis wiadomo, ze uczelaniani admini sa najmadrzejsi na swiecie i wszystko wiedza najlepiej, a jakakolwiek proba zwrocenia uwagi na nieprawidlowosci konczy sie zruganiem zwracajacego uwage. Obstawiam, ze sama wartosc badan wynosi zero, a niedlugo byc moze dowiemy sie, ze serwer wykorzystywany byl do kopania krypto waluty.
Serwer im listuje pliki.
http://kdm.icm.edu.pl/kdm_wiki/images/
Tu to samo .Dlaczego listuje pliki.??
https://icm.edu.pl/wp-content/plugins/booking/
https://icm.edu.pl/wp-content/plugins/events-manager/includes/js/
https://icm.edu.pl/wp-includes/
Oj Olku, żeby tylko pliki: https://icm.edu.pl/wp-json/wp/v2/users
Może jakiś atak socjologiczny przez telefon? Kto wie, może to dopiero początek kompromitacji pana doktora w randze super admina tego bajzlu.
Bo ktoś go tak skonfigurował ;)
Jak pięknie karma wraca. 15 lat temu pracowałem w ICM i po takim samym włamaniu próbowałem wdrożyć 2FA dla użytkowników zewnętrznych. Próba została politycznie zablokowana przez szefa działu KDM bo … uniemożliwiłaby dzielenie się hasłami przez użytkowników, na zasadzie że profesor ma konto w ICM i użycza hasła doktorantowi, żeby ten coś tam liczył. Jak widać przez 15 lat nic się nie zmieniło. Pozdrowienia dla mirnaza.