Ismertté vált, hogy az európai régió különböző országaiból több szuperszámítógép fertőzött meg kriptovaluták bányászatára szolgáló kártevőkkel a héten. Ilyen típusú incidensek történtek az Egyesült Királyságban, Németországban, Svájcban és Spanyolországban.
Az első jelentés a támadásról hétfőn érkezett az Edinburghi Egyetemről, ahol az ARCHER szuperszámítógép található. Ennek megfelelő üzenetet és javaslatot tettek közzé a felhasználói jelszavak és SSH-kulcsok megváltoztatására az intézmény honlapján.
Ugyanezen a napon a szuperszámítógépekkel kapcsolatos kutatási projekteket koordináló BwHPC szervezet bejelentette, hogy fel kell függeszteni a hozzáférést öt németországi számítástechnikai klaszterhez a „biztonsági incidensek” kivizsgálása érdekében.
A jelentések szerdán folytatódtak, amikor Felix von Leitner biztonsági kutató blogot írt arról, hogy a spanyolországi barcelonai szuperszámítógéphez való hozzáférést lezárták a kiberbiztonsági incidens vizsgálatának idejére.
Másnap hasonló üzenetek érkeztek a Leibniz Számítástechnikai Központtól, a Bajor Tudományos Akadémia egyik intézetétől, valamint a Jülich Kutatóközponttól, amely az azonos nevű német városban található. A tisztviselők bejelentették, hogy a JURECA, a JUDAC és a JUWELS szuperszámítógépekhez való hozzáférést „információs biztonsági incidens” miatt lezárták. Emellett a zürichi Svájci Tudományos Számítástechnikai Központ is lezárta a külső hozzáférést számítástechnikai klaszterei infrastruktúrájához az információbiztonsági incidens után, „amíg a biztonságos környezet helyre nem áll”.
Az említett szervezetek egyike sem közölt részleteket a történtekkel kapcsolatban. A szuperszámítógépekkel kapcsolatos kutatásokat Európa-szerte koordináló Information Security Incident Response Team (CSIRT) azonban rosszindulatú programmintákat és további adatokat tett közzé néhány incidensről.
A kártevő-mintákat az információbiztonság területén tevékenykedő amerikai Cado Security cég szakemberei vizsgálták meg. Szakértők szerint a támadók feltört felhasználói adatokon és SSH-kulcsokon keresztül jutottak hozzá szuperszámítógépekhez. Azt is feltételezik, hogy a kanadai, kínai és lengyel egyetemek alkalmazottaitól lopták el a hitelesítő adatokat, akik különböző kutatások elvégzéséhez hozzáfértek a számítástechnikai klaszterekhez.
Bár nincs hivatalos bizonyíték arra vonatkozóan, hogy az összes támadást egyetlen hackercsoport követte volna el, a hasonló rosszindulatú programok fájlnevei és hálózati azonosítói arra utalnak, hogy a támadássorozatot egyetlen csoport hajtotta végre. A Cado Security úgy véli, hogy a támadók a CVE-2019-15666 biztonsági rést kihasználva hozzáfértek a szuperszámítógépekhez, majd szoftvert telepítettek a Monero kriptovaluta (XMR) bányászatára.
Érdemes megjegyezni, hogy számos szervezet, amely a héten kénytelen volt lezárni a szuperszámítógépekhez való hozzáférést, korábban bejelentette, hogy kiemelten kezeli a COVID-19 kutatást.
Forrás: 3dnews.ru