Bylo známo, že tento týden bylo několik superpočítačů z různých zemí evropského regionu infikováno malwarem pro těžbu kryptoměn. K incidentům tohoto typu došlo ve Spojeném království, Německu, Švýcarsku a Španělsku.
První zpráva o útoku přišla v pondělí z University of Edinburgh, kde se nachází superpočítač ARCHER. Na webových stránkách instituce byla zveřejněna odpovídající zpráva a doporučení ke změně uživatelských hesel a SSH klíčů.
Ve stejný den organizace BwHPC, která koordinuje výzkumné projekty na superpočítačích, oznámila, že je třeba pozastavit přístup k pěti výpočetním klastrům v Německu za účelem vyšetřování „bezpečnostních incidentů“.
Zprávy pokračovaly ve středu, když bezpečnostní výzkumník Felix von Leitner napsal na blog, že přístup k superpočítači ve španělské Barceloně byl uzavřen, zatímco probíhalo vyšetřování incidentu v oblasti kybernetické bezpečnosti.
Následující den přišly podobné zprávy z Leibniz Computing Center, ústavu Bavorské akademie věd, a také z výzkumného centra Jülich, které se nachází ve stejnojmenném německém městě. Úředníci oznámili, že přístup k superpočítačům JURECA, JUDAC a JUWELS byl uzavřen po „incidentu bezpečnosti informací“. Kromě toho Švýcarské centrum pro vědeckou výpočetní techniku v Curychu také po incidentu informační bezpečnosti uzavřelo externí přístup k infrastruktuře svých počítačových clusterů „dokud nebude obnoveno bezpečné prostředí“.
Žádná ze zmíněných organizací nezveřejnila žádné podrobnosti o incidentech, ke kterým došlo. Tým Information Security Incident Response Team (CSIRT), který koordinuje výzkum superpočítačů v celé Evropě, však zveřejnil vzorky malwaru a další údaje o některých incidentech.
Vzorky malwaru zkoumali specialisté z americké společnosti Cado Security, která působí v oblasti informační bezpečnosti. Podle expertů se útočníci dostali k superpočítačům prostřednictvím kompromitovaných uživatelských dat a SSH klíčů. Předpokládá se také, že pověření byla ukradena zaměstnancům univerzit v Kanadě, Číně a Polsku, kteří měli přístup k výpočetním klastrům pro provádění různých výzkumů.
I když neexistují žádné oficiální důkazy, že všechny útoky provedla jediná skupina hackerů, podobné názvy souborů malwaru a síťové identifikátory naznačují, že sérii útoků provedla jediná skupina. Cado Security se domnívá, že útočníci využili exploit pro zranitelnost CVE-2019-15666 pro přístup k superpočítačům a poté nasadili software pro těžbu kryptoměny Monero (XMR).
Stojí za zmínku, že mnoho organizací, které byly tento týden nuceny uzavřít přístup k superpočítačům, již dříve oznámily, že upřednostňují výzkum COVID-19.
Zdroj: 3dnews.ru