Det blev kendt, at flere supercomputere fra forskellige lande i den europæiske region var inficeret med malware til minedrift af kryptovalutaer i denne uge. Hændelser af denne type har fundet sted i Storbritannien, Tyskland, Schweiz og Spanien.
Den første melding om angrebet kom mandag fra University of Edinburgh, hvor ARCHER-supercomputeren er placeret. En tilsvarende meddelelse og en anbefaling om ændring af brugeradgangskoder og SSH-nøgler blev offentliggjort på institutionens hjemmeside.
Samme dag annoncerede BwHPC-organisationen, som koordinerer forskningsprojekter om supercomputere, behovet for at suspendere adgangen til fem computerklynger i Tyskland for at undersøge "sikkerhedshændelser".
Rapporterne fortsatte onsdag, da sikkerhedsforsker Felix von Leitner bloggede, at adgangen til en supercomputer i Barcelona, Spanien, var blevet lukket, mens en undersøgelse af cybersikkerhedshændelsen blev udført.
Dagen efter kom lignende beskeder fra Leibniz Computing Center, et institut ved det bayerske videnskabsakademi, samt fra Jülich Research Center, der ligger i den tyske by af samme navn. Embedsmænd meddelte, at adgangen til JURECA, JUDAC og JUWELS supercomputere er blevet lukket efter en "informationssikkerhedshændelse." Derudover lukkede Swiss Center for Scientific Computing i Zürich også ekstern adgang til infrastrukturen i dets computerklynger efter informationssikkerhedshændelsen "indtil et sikkert miljø er gendannet."
Ingen af de nævnte organisationer har offentliggjort nogen detaljer om de hændelser, der fandt sted. Imidlertid har Information Security Incident Response Team (CSIRT), som koordinerer supercomputing-forskning i hele Europa, offentliggjort malwareprøver og yderligere data om nogle af hændelserne.
Prøver af malware blev undersøgt af specialister fra det amerikanske firma Cado Security, der arbejder inden for informationssikkerhed. Ifølge eksperter fik angriberne adgang til supercomputere gennem kompromitterede brugerdata og SSH-nøgler. Det menes også, at legitimationsoplysninger blev stjålet fra ansatte ved universiteter i Canada, Kina og Polen, som havde adgang til computerklynger til at udføre forskellige undersøgelser.
Selvom der ikke er noget officielt bevis på, at alle angrebene blev udført af en enkelt gruppe hackere, indikerer lignende malware-filnavne og netværksidentifikatorer, at serien af angreb blev udført af en enkelt gruppe. Cado Security mener, at angribere brugte en udnyttelse af CVE-2019-15666-sårbarheden til at få adgang til supercomputere og derefter implementerede software til minedrift af Monero-cryptocurrency (XMR).
Det er værd at bemærke, at mange af de organisationer, der blev tvunget til at lukke adgangen til supercomputere i denne uge, tidligere havde annonceret, at de prioriterede COVID-19-forskning.
Kilde: 3dnews.ru