Diketahui bahwa beberapa superkomputer dari berbagai negara di kawasan Eropa terinfeksi malware untuk menambang cryptocurrency pada minggu ini. Insiden semacam ini pernah terjadi di Inggris, Jerman, Swiss, dan Spanyol.
Laporan pertama mengenai serangan tersebut datang pada hari Senin dari Universitas Edinburgh, tempat superkomputer ARCHER berada. Pesan terkait dan rekomendasi untuk mengubah kata sandi pengguna dan kunci SSH dipublikasikan di situs web institusi.
Pada hari yang sama, organisasi BwHPC, yang mengoordinasikan proyek penelitian superkomputer, mengumumkan perlunya menangguhkan akses ke lima cluster komputasi di Jerman untuk menyelidiki βinsiden keamanan.β
Laporan tersebut berlanjut pada hari Rabu ketika peneliti keamanan Felix von Leitner menulis blog bahwa akses ke superkomputer di Barcelona, ββββSpanyol, telah ditutup sementara penyelidikan atas insiden keamanan siber dilakukan.
Keesokan harinya, pesan serupa datang dari Leibniz Computing Center, sebuah institut di Akademi Ilmu Pengetahuan Bavaria, serta dari Pusat Penelitian JΓΌlich, yang terletak di kota dengan nama yang sama di Jerman. Para pejabat mengumumkan bahwa akses ke superkomputer JURECA, JUDAC dan JUWELS telah ditutup menyusul βinsiden keamanan informasi.β Selain itu, Pusat Komputasi Ilmiah Swiss di Zurich juga menutup akses eksternal ke infrastruktur cluster komputasinya setelah insiden keamanan informasi βsampai lingkungan yang aman pulih.β
Tak satu pun dari organisasi yang disebutkan telah mempublikasikan rincian mengenai insiden yang terjadi. Namun, Tim Respons Insiden Keamanan Informasi (CSIRT), yang mengoordinasikan penelitian superkomputer di seluruh Eropa, telah menerbitkan sampel malware dan data tambahan tentang beberapa insiden tersebut.
Sampel malware diperiksa oleh spesialis dari perusahaan Amerika Cado Security, yang bergerak di bidang keamanan informasi. Menurut para ahli, penyerang memperoleh akses ke superkomputer melalui data pengguna dan kunci SSH yang disusupi. Kredensial juga diyakini telah dicuri dari pegawai universitas di Kanada, Tiongkok, dan Polandia, yang memiliki akses ke cluster komputasi untuk melakukan berbagai penelitian.
Meskipun tidak ada bukti resmi bahwa semua serangan dilakukan oleh satu kelompok peretas, nama file malware dan pengidentifikasi jaringan yang serupa menunjukkan bahwa serangkaian serangan dilakukan oleh satu kelompok. Cado Security percaya bahwa penyerang menggunakan eksploitasi kerentanan CVE-2019-15666 untuk mengakses superkomputer, dan kemudian menyebarkan perangkat lunak untuk menambang cryptocurrency Monero (XMR).
Perlu dicatat bahwa banyak organisasi yang terpaksa menutup akses ke superkomputer minggu ini sebelumnya telah mengumumkan bahwa mereka memprioritaskan penelitian COVID-19.
Sumber: 3dnews.ru