Hace pocos días, Investigadores de ESET realizaron una publicación en la cual abordan las actividades asociadas al rootkit «Ebury». Según el informe, Ebury ha estado en activo desde 2009 y ha infectado más de 400,000 servidores que corren Linux, así como varios cientos de sistemas basados en FreeBSD, OpenBSD y Solaris. ESET informa que a finales de 2023, aún había alrededor de 110,000 servidores afectados por Ebury.

Este estudio es particularmente relevante debido al ataque a kernel.org en el que Ebury estuvo involucrado, revelando nuevos detalles sobre la infiltración de la infraestructura de desarrollo del kernel de Linux en 2011. Además, Ebury se ha detectado en servidores de registro de dominios, intercambios de cifrado, nodos de salida Tor y varios proveedores de alojamiento anónimos.

Hace diez años creamos conciencia sobre Ebury mediante la publicación de un documento técnico que llamamos Operación Windigo , que documentaba una campaña que aprovechaba el malware de Linux para obtener ganancias financieras. Hoy publicamos un artículo de seguimiento sobre cómo ha evolucionado Ebury y las nuevas familias de malware que sus operadores utilizan para monetizar su botnet de servidores Linux.

Inicialmente se pensó que los atacantes que comprometieron los servidores de kernel.org permanecieron indetectados durante 17 días. Sin embargo, según ESET, este período se calculó desde la instalación del rootkit Phalanx.

Pero esto no fue asi, ya que Ebury, que ya estaba presente en los servidores desde 2009, y esto permitió el acceso root durante aproximadamente dos años. Ebury y Phalanx fueron instalados como parte de diferentes ataques realizados por grupos de atacantes distintos. La instalación de la puerta trasera Ebury afectó al menos a 4 servidores en la infraestructura de kernel.org, dos de los cuales estuvieron comprometidos y sin ser detectados durante unos dos años y los otros dos durante un período de 6 meses.

Se menciona que los atacantes lograron acceder a los hashes de contraseñas de 551 usuarios almacenados en /etc/shadow, incluidos los mantenedores del kernel. Estas cuentas se utilizaban para acceder a Git.

Después del incidente, se realizaron cambios en las contraseñas y se revisó el modelo de acceso para incorporar firmas digitales. De los 257 usuarios afectados, los atacantes lograron determinar las contraseñas en texto claro, probablemente mediante el uso de hashes y la interceptación de contraseñas utilizadas en SSH por el componente malicioso Ebury.

El componente malicioso Ebury se propagó como una biblioteca compartida que interceptaba las funciones utilizadas en OpenSSH para establecer conexiones remotas con sistemas con privilegios de root. Este ataque no fue dirigido específicamente a kernel.org y, como resultado, los servidores afectados se convirtieron en parte de una botnet utilizada para enviar spam, robar credenciales para su uso en otros sistemas, redirigir el tráfico web y llevar a cabo otras actividades maliciosas.

La propia familia de malware Ebury también ha sido actualizada. La nueva actualización principal de la versión, 1.8, se vio por primera vez a finales de 2023. Entre las actualizaciones se encuentran nuevas técnicas de ofuscación, un nuevo algoritmo de generación de dominio (DGA) y mejoras en el rootkit de usuario utilizado por Ebury para ocultarse de los administradores del sistema. Cuando está activo, el proceso, el archivo, el socket e incluso la memoria asignada (Figura 6) están ocultos.

Para poder infiltrarse en los servidores, los atacantes explotaron vulnerabilidades no parcheadas en el software del servidor, como fallos en los paneles de alojamiento y contraseñas interceptadas.

Además de ello, se presume que los servidores de kernel.org fueron hackeados tras comprometer la contraseña de uno de los usuarios con acceso al shell y vulnerabilidades como Dirty COW se utilizaron para escalar privilegios.

Se menciona que las versiones más recientes de Ebury, además del backdoor, incluían módulos adicionales para Apache httpd, permitiendo enviar tráfico mediante proxy, redirigir usuarios e interceptar información confidencial. También contaban con un módulo del kernel para modificar el tráfico HTTP en tránsito y herramientas para ocultar su propio tráfico de los firewalls. Además, incluían scripts para llevar a cabo ataques Adversary-in-the-Middle (AitM), interceptando credenciales SSH en redes de proveedores de alojamiento.

Finalmente si estás interesado en poder conocer más al respecto, puedes consultar los detalles en el siguiente enlace.

from Linux Adictos https://ift.tt/CXgnqFZ
via IFTTT

TOP500 clasifica y detalla los 500 sistemas computación no distribuida más potentes del mundo.

Hace pocos días se publicó la 63ª edición del ranking «Top 500» que clasifica los ordenadores con mayor rendimiento del mundo. Esta lista se basa en la medida del rendimiento de los sistemas utilizando la prueba de referencia LINPACK, que calcula la velocidad a la que un sistema puede resolver un conjunto de ecuaciones lineales.

Y en esta nueva edición que se presenta, en comparación con la publicación anterior (la edición 62)  los clusters que ocuparon los primeros cinco lugares en el ranking anterior mantuvieron sus posiciones.

1. El primer lugar del Top 500 lo sigue manteniendo el «Frontier», quien ha estado liderando el puesto durante 2 años consecutivos. Ubicado en el Laboratorio Nacional Oak Ridge del Departamento de Energía de Estados Unidos, este clúster cuenta con 8.7 millones de núcleos de procesador (AMD EPYC 64C de 2 GHz) y ofrece un rendimiento de 1206 exaflops. El clúster está potenciado por HPE Cray OS (SUSE Linux Enterprise Server edición 15).
2. El sistema Aurora en Argonne Leadership Computing Facility en Illinois, EE.UU., ha conseguido el segundo puesto en el TOP500. Este cluster ha aumentado su número de núcleos de procesador (Xeon CPU Max 9470 52C 2.4 GHz) de 4.8 a 9.2 millones, lo que resulta en un rendimiento de 1012 exaflops. Bajo el capo se encuentra SUSE Linux Enterprise Server 15 SP4.
3. En el tercer lugar se posiciona el «Eagle» instalado en Microsoft Azure Cloud en EE. UU. recuperando su poscion que había alcanzado después de su primera aparición en la lista anterior. El «Eagle» es un clúster desplegado por Microsoft para la nube Azure y contiene 2 millones de núcleos de procesador (CPU Xeon Platinum 8480C 48C 2GHz), ofrece un rendimiento máximo de 561 petaflops. El software del clúster está basado en Ubuntu 22.04.
4. Fugaku: Ubicado en el Instituto RIKEN de Investigaciones Físicas y Químicas en Japón, este clúster utiliza procesadores ARM (158976 nodos basados en el SoC Fujitsu A64FX, equipados con una CPU Armv8.2-A SVE de 2,2 GHz de 48 núcleos) y ofrece 442 petaflops de rendimiento. Fugaku ejecuta Red Hat Enterprise Linux.
5. LUMI: Situado en el Centro Europeo de Supercomputación (EuroHPC) en Finlandia, este cluster ofrece un rendimiento de 379 petaflops. Está construido sobre la plataforma HPE Cray EX235a e incluye 2.2 millones de núcleos de procesador (AMD EPYC 64C 2GHz, acelerador AMD Instinct MI250X, red Slingshot-11). Utiliza HPE Cray OS como sistema operativo.

Además, el sexto lugar lo ocupó el nuevo cluster Alps, lanzado en el Centro Nacional Suizo de Supercomputación. Este clúster cuenta con 1,305,600 núcleos de procesador NVIDIA Grace 72C de 3.1 GHz y proporciona un rendimiento de 270 petaflops.

En cuanto a los superordenadores domésticos, se menciona que los clusters Chervonenkis, Galushkin y Lyapunov creados por Yandex tuvieron un descenso en el ranking. Pasaron del puesto 36, 58 y 64 al 42, 69 y 79 respectivamente. Estos clústeres están diseñados para resolver problemas de aprendizaje automático y proporcionan un rendimiento de 21.5, 16 y 12.8 petaflops respectivamente. Ejecutan Ubuntu 16.04 y están equipados con procesadores AMD EPYC 7xxx y GPU NVIDIA A100.

Por la parte de las nuevas tendencias del ranking de supercomputadoras se menciona que:

• En América del Norte se encuentran 181 supercomputadoras (171 hace seis meses).
• Europa: 157 supercomputadoras (143 hace seis meses).
• Asia: 147 supercomputadoras (169 hace seis meses).
• América del Sur: 9 supercomputadoras (10 hace seis meses).
• Oceanía: 5 supercomputadoras (6 hace seis meses).
• África: 1 supercomputadora (sin cambios).
• Intel domina el ranking con una preferencia del 62.8% (67.9% hace seis meses).
• CPUs AMD: 31.4% (28% hace seis meses).
• IBM Power: 1.2% (1.4% hace seis meses).
• Todos los sistemas en el ranking utilizan Linux como sistema operativo desde noviembre de 2017.
• El umbral mínimo de rendimiento para ingresar al Top500 aumentó a 2,13 petaflops.
• El rendimiento total de todos los sistemas en la clasificación aumentó de 7 a 8,2 exaflops en los últimos seis meses.

Y en cuanto al uso de distribuciones, se menciona que:

• El 42.4% (44.6% hace seis meses) utiliza sistemas basados ​​en Linux, pero no especifica la distribución.
• El uso de RHEL aumento ahora hasta el 16.8% (antes era el 12.6%)
• CentOS disminuyo a un 9.4% (antes era el 11%)
• Cray Linux con un 9,2% (9.6%)
• Ubuntu ganó un poco de participación subiendo a un 8.4% (7,8%)
• SUSE se manutuvo 4,4% (4,4%)
• Rocky Linux aumentó al 3% (2%)
• Alma Linu 1,2% (1%)
• Amazon Linux; 0.2% (0.2%)
• Scientific linux 0.2% (0.2%)

Finalmente si estás interesado en poder conocer más al respecto, te invito a que consultes la publicación del Top 500 en el siguiente enlace.

from Linux Adictos https://ift.tt/tSf2Gix
via IFTTT