Es va saber que diversos superordinadors de diferents països de la regió europea estaven infectats amb programari maliciós per a la mineria de criptomonedes aquesta setmana. Incidents d'aquest tipus s'han produït al Regne Unit, Alemanya, Suïssa i Espanya.
El primer informe de l'atac va arribar dilluns des de la Universitat d'Edimburg, on es troba el superordinador ARCHER. Al lloc web de la institució es va publicar un missatge corresponent i una recomanació per canviar les contrasenyes d'usuari i les claus SSH.
El mateix dia, l'organització BwHPC, que coordina projectes de recerca sobre superordinadors, va anunciar la necessitat de suspendre l'accés a cinc clústers informàtics a Alemanya per investigar "incidents de seguretat".
Els informes van continuar dimecres quan l'investigador de seguretat Felix von Leitner va publicar al blog que l'accés a un superordinador a Barcelona, Espanya, s'havia tancat mentre es feia una investigació sobre l'incident de ciberseguretat.
L'endemà, missatges similars van arribar del Leibniz Computing Center, un institut de l'Acadèmia de Ciències de Baviera, així com del Jülich Research Center, situat a la ciutat alemanya del mateix nom. Els funcionaris van anunciar que l'accés als superordinadors JURECA, JUDAC i JUWELS s'ha tancat arran d'un "incident de seguretat de la informació". A més, el Centre Suís per a la Informàtica Científica de Zuric també va tancar l'accés extern a la infraestructura dels seus clústers informàtics després de l'incident de seguretat de la informació "fins que es restableixi un entorn segur".
Cap de les organitzacions esmentades ha publicat cap detall sobre els incidents ocorreguts. Tanmateix, l'equip de resposta a incidents de seguretat de la informació (CSIRT), que coordina la investigació de supercomputació a tot Europa, ha publicat mostres de programari maliciós i dades addicionals sobre alguns dels incidents.
Les mostres de programari maliciós van ser examinades per especialistes de l'empresa nord-americana Cado Security, que treballa en l'àmbit de la seguretat de la informació. Segons els experts, els atacants van obtenir accés als superordinadors mitjançant dades d'usuari compromeses i claus SSH. També es creu que les credencials van ser robades a empleats d'universitats del Canadà, la Xina i Polònia, que tenien accés a clústers informàtics per dur a terme diverses investigacions.
Tot i que no hi ha proves oficials que tots els atacs hagin estat duts a terme per un sol grup de pirates informàtics, noms de fitxers de programari maliciós i identificadors de xarxa similars indiquen que la sèrie d'atacs va ser dut a terme per un sol grup. Cado Security creu que els atacants van utilitzar un exploit per a la vulnerabilitat CVE-2019-15666 per accedir als superordinadors i després van desplegar programari per explotar la criptomoneda Monero (XMR).
Val la pena assenyalar que moltes de les organitzacions que es van veure obligades a tancar l'accés als superordinadors aquesta setmana havien anunciat anteriorment que prioritzaven la investigació sobre la COVID-19.
Font: 3dnews.ru