Soubo que varias supercomputadoras de diferentes países da rexión europea foron infectadas con malware para minar criptomoedas esta semana. Incidentes deste tipo producíronse no Reino Unido, Alemaña, Suíza e España.
O primeiro informe do ataque chegou este luns desde a Universidade de Edimburgo, onde se atopa o superordenador ARCHER. Na páxina web da institución publicouse unha mensaxe correspondente e unha recomendación para cambiar os contrasinais dos usuarios e as claves SSH.
O mesmo día, a organización BwHPC, que coordina proxectos de investigación sobre supercomputadoras, anunciou a necesidade de suspender o acceso a cinco clusters de computación en Alemaña para investigar "incidentes de seguridade".
Os informes continuaron o mércores cando o investigador de seguridade Felix von Leitner blogueou que o acceso a un supercomputador en Barcelona, España, estaba pechado mentres se levaba a cabo unha investigación sobre o incidente de ciberseguridade.
Ao día seguinte, mensaxes similares chegaron do Centro de Computación Leibniz, un instituto da Academia de Ciencias de Baviera, así como do Centro de Investigación Jülich, situado na cidade alemá do mesmo nome. Os funcionarios anunciaron que o acceso aos supercomputadores JURECA, JUDAC e JUWELS foi pechado tras un "incidente de seguridade da información". Ademais, o Centro Suízo de Informática Científica de Zúric tamén pechou o acceso externo á infraestrutura dos seus clusters informáticos despois do incidente de seguridade da información "ata que se restableza un ambiente seguro".
Ningunha das organizacións mencionadas publicou ningún detalle sobre os incidentes acontecidos. Non obstante, o Equipo de Resposta a Incidentes de Seguridade da Información (CSIRT), que coordina a investigación sobre supercomputación en toda Europa, publicou mostras de malware e datos adicionais sobre algúns dos incidentes.
As mostras de malware foron examinadas por especialistas da empresa estadounidense Cado Security, que traballa no ámbito da seguridade da información. Segundo os expertos, os atacantes accederon a supercomputadoras a través de datos de usuarios comprometidos e claves SSH. Tamén se cre que as credenciais foron roubadas a empregados de universidades de Canadá, China e Polonia, que tiñan acceso a clusters informáticos para realizar diversas investigacións.
Aínda que non hai probas oficiais de que todos os ataques foron realizados por un só grupo de hackers, nomes de ficheiros de malware e identificadores de rede similares indican que a serie de ataques foi realizada por un só grupo. Cado Security cre que os atacantes utilizaron un exploit para a vulnerabilidade CVE-2019-15666 para acceder a supercomputadoras e, a continuación, despregaron software para minar a criptomoeda Monero (XMR).
Cabe sinalar que moitas das organizacións que se viron obrigadas a pechar o acceso aos supercomputadores esta semana anunciaran previamente que estaban priorizando a investigación sobre COVID-19.
Fonte: 3dnews.ru