Si è saputo che questa settimana diversi supercomputer di diversi paesi della regione europea sono stati infettati da malware per il mining di criptovalute. Incidenti di questo tipo si sono verificati nel Regno Unito, in Germania, Svizzera e Spagna.
La prima notizia dell'attacco è arrivata lunedì dall'Università di Edimburgo, dove si trova il supercomputer ARCHER. Sul sito web dell'istituzione è stato pubblicato un messaggio corrispondente e una raccomandazione per modificare le password degli utenti e le chiavi SSH.
Lo stesso giorno, l’organizzazione BwHPC, che coordina progetti di ricerca sui supercomputer, ha annunciato la necessità di sospendere l’accesso a cinque cluster informatici in Germania per indagare su “incidenti di sicurezza”.
Le notizie sono continuate mercoledì, quando il ricercatore di sicurezza Felix von Leitner ha scritto sul blog che l'accesso a un supercomputer a Barcellona, in Spagna, era stato chiuso mentre veniva condotta un'indagine sull'incidente di sicurezza informatica.
Il giorno successivo, messaggi simili sono arrivati dal Leibniz Computing Center, un istituto dell'Accademia bavarese delle scienze, nonché dal Centro di ricerca Jülich, situato nell'omonima città tedesca. I funzionari hanno annunciato che l’accesso ai supercomputer JURECA, JUDAC e JUWELS è stato chiuso a seguito di un “incidente di sicurezza informatica”. Inoltre, dopo l’incidente di sicurezza informatica, anche il Centro svizzero di calcolo scientifico di Zurigo ha chiuso l’accesso esterno all’infrastruttura dei suoi cluster di calcolo “fino a quando non sarà ripristinato un ambiente sicuro”.
Nessuna delle organizzazioni citate ha pubblicato dettagli sugli incidenti accaduti. Tuttavia, l’Information Security Incident Response Team (CSIRT), che coordina la ricerca sui supercalcoli in tutta Europa, ha pubblicato campioni di malware e dati aggiuntivi su alcuni degli incidenti.
Campioni di malware sono stati esaminati da specialisti dell'azienda americana Cado Security, che opera nel campo della sicurezza informatica. Secondo gli esperti gli aggressori sono riusciti ad accedere ai supercomputer tramite dati utente e chiavi SSH compromessi. Si ritiene inoltre che le credenziali siano state rubate a dipendenti di università in Canada, Cina e Polonia, che avevano accesso a cluster informatici per condurre varie ricerche.
Sebbene non vi siano prove ufficiali che tutti gli attacchi siano stati sferrati da un singolo gruppo di hacker, nomi di file malware e identificatori di rete simili indicano che la serie di attacchi è stata sferrata da un singolo gruppo. Cado Security ritiene che gli aggressori abbiano utilizzato un exploit per la vulnerabilità CVE-2019-15666 per accedere ai supercomputer e quindi abbiano distribuito software per estrarre la criptovaluta Monero (XMR).
Vale la pena notare che molte delle organizzazioni che sono state costrette a chiudere l’accesso ai supercomputer questa settimana avevano precedentemente annunciato che avrebbero dato priorità alla ricerca sul COVID-19.
Fonte: 3dnews.ru