Se conoció que esta semana varias supercomputadoras de diferentes países de la región europea fueron infectadas con malware para minar criptomonedas. Incidentes de este tipo han ocurrido en el Reino Unido, Alemania, Suiza y España.
El primer informe del ataque llegó el lunes desde la Universidad de Edimburgo, donde se encuentra la supercomputadora ARCHER. En el sitio web de la institución se publicó un mensaje correspondiente y una recomendación para cambiar las contraseñas de los usuarios y las claves SSH.
El mismo día, la organización BwHPC, que coordina proyectos de investigación sobre supercomputadoras, anunció la necesidad de suspender el acceso a cinco clusters informáticos en Alemania para investigar "incidentes de seguridad".
Los informes continuaron el miércoles cuando el investigador de seguridad Felix von Leitner escribió en un blog que el acceso a una supercomputadora en Barcelona, España, había sido cerrado mientras se llevaba a cabo una investigación sobre el incidente de ciberseguridad.
Al día siguiente, llegaron mensajes similares del Centro de Computación Leibniz, un instituto de la Academia de Ciencias de Baviera, así como del Centro de Investigación Jülich, ubicado en la ciudad alemana del mismo nombre. Los funcionarios anunciaron que el acceso a las supercomputadoras JURECA, JUDAC y JUWELS se cerró luego de un "incidente de seguridad de la información". Además, el Centro Suizo de Informática Científica de Zúrich también cerró el acceso externo a la infraestructura de sus clusters informáticos tras el incidente de seguridad de la información "hasta que se restablezca un entorno seguro".
Ninguna de las organizaciones mencionadas ha publicado ningún detalle sobre los incidentes ocurridos. Sin embargo, el Equipo de Respuesta a Incidentes de Seguridad de la Información (CSIRT), que coordina la investigación sobre supercomputación en toda Europa, ha publicado muestras de malware y datos adicionales sobre algunos de los incidentes.
Las muestras de malware fueron examinadas por especialistas de la empresa estadounidense Cado Security, que trabaja en el campo de la seguridad de la información. Según los expertos, los atacantes obtuvieron acceso a las supercomputadoras a través de datos de usuario y claves SSH comprometidos. También se cree que se robaron credenciales de empleados de universidades de Canadá, China y Polonia, que tenían acceso a clusters informáticos para realizar diversas investigaciones.
Si bien no hay evidencia oficial de que todos los ataques fueron llevados a cabo por un solo grupo de piratas informáticos, nombres de archivos de malware e identificadores de red similares indican que la serie de ataques fue llevada a cabo por un solo grupo. Cado Security cree que los atacantes utilizaron un exploit para la vulnerabilidad CVE-2019-15666 para acceder a supercomputadoras y luego implementaron software para extraer la criptomoneda Monero (XMR).
Vale la pena señalar que muchas de las organizaciones que se vieron obligadas a cerrar el acceso a las supercomputadoras esta semana habían anunciado previamente que estaban dando prioridad a la investigación de COVID-19.
Fuente: 3dnews.ru