Il est devenu connu que plusieurs superordinateurs de différents pays de la région européenne ont été infectés cette semaine par des logiciels malveillants destinés à extraire des crypto-monnaies. Des incidents de ce type se sont produits au Royaume-Uni, en Allemagne, en Suisse et en Espagne.
Le premier rapport de l'attaque est venu lundi de l'Université d'Édimbourg, où se trouve le supercalculateur ARCHER. Un message correspondant et une recommandation de modification des mots de passe des utilisateurs et des clés SSH ont été publiés sur le site Internet de l'institution.
Le même jour, l'organisation BwHPC, qui coordonne les projets de recherche sur les supercalculateurs, a annoncé la nécessité de suspendre l'accès à cinq clusters informatiques en Allemagne pour enquêter sur des « incidents de sécurité ».
Les rapports se sont poursuivis mercredi lorsque le chercheur en sécurité Felix von Leitner a blogué que l'accès à un superordinateur à Barcelone, en Espagne, avait été fermé pendant qu'une enquête sur l'incident de cybersécurité était menée.
Le lendemain, des messages similaires sont venus du Leibniz Computing Center, un institut de l'Académie bavaroise des sciences, ainsi que du Centre de recherche de Jülich, situé dans la ville allemande du même nom. Les responsables ont annoncé que l'accès aux supercalculateurs JURECA, JUDAC et JUWELS avait été fermé à la suite d'un « incident de sécurité de l'information ». En outre, le Centre suisse de calcul scientifique de Zurich a également fermé l'accès externe à l'infrastructure de ses clusters informatiques après l'incident de sécurité de l'information « jusqu'à ce qu'un environnement sécurisé soit rétabli ».
Aucune des organisations mentionnées n'a publié de détails sur les incidents survenus. Cependant, l'Information Security Incident Response Team (CSIRT), qui coordonne la recherche sur les supercalculateurs à travers l'Europe, a publié des échantillons de logiciels malveillants et des données supplémentaires sur certains des incidents.
Des échantillons de logiciels malveillants ont été examinés par des spécialistes de la société américaine Cado Security, active dans le domaine de la sécurité de l'information. Selon les experts, les attaquants ont accédé aux superordinateurs grâce à des données utilisateur et des clés SSH compromises. On pense également que des titres de compétences ont été volés à des employés d'universités au Canada, en Chine et en Pologne, qui avaient accès à des grappes informatiques pour mener diverses recherches.
Bien qu’il n’existe aucune preuve officielle que toutes les attaques ont été menées par un seul groupe de pirates informatiques, des noms de fichiers malveillants et des identifiants de réseau similaires indiquent que la série d’attaques a été menée par un seul groupe. Cado Security estime que les attaquants ont utilisé un exploit pour la vulnérabilité CVE-2019-15666 pour accéder aux superordinateurs, puis ont déployé un logiciel pour extraire la crypto-monnaie Monero (XMR).
Il convient de noter que de nombreuses organisations qui ont été contraintes de fermer l’accès aux superordinateurs cette semaine avaient déjà annoncé qu’elles donnaient la priorité à la recherche sur le COVID-19.
Source: 3dnews.ru