Deze week werd bekend dat verschillende supercomputers uit verschillende landen in de Europese regio besmet waren met malware voor het minen van cryptocurrencies. Dit soort incidenten hebben zich voorgedaan in Groot-Brittannië, Duitsland, Zwitserland en Spanje.
De eerste melding van de aanval kwam maandag van de Universiteit van Edinburgh, waar de supercomputer ARCHER staat. Een bijbehorend bericht en een aanbeveling om gebruikerswachtwoorden en SSH-sleutels te wijzigen zijn op de website van de instelling gepubliceerd.
Op dezelfde dag kondigde de BwHPC-organisatie, die onderzoeksprojecten op het gebied van supercomputers coördineert, de noodzaak aan om de toegang tot vijf computerclusters in Duitsland op te schorten om ‘veiligheidsincidenten’ te onderzoeken.
De berichten gingen woensdag verder toen beveiligingsonderzoeker Felix von Leitner blogde dat de toegang tot een supercomputer in Barcelona, Spanje, was afgesloten terwijl er een onderzoek naar het cybersecurity-incident werd uitgevoerd.
De volgende dag kwamen soortgelijke berichten van het Leibniz Computing Center, een instituut van de Beierse Academie van Wetenschappen, en van het Jülich Research Center, gevestigd in de gelijknamige Duitse stad. Ambtenaren hebben aangekondigd dat de toegang tot de JURECA-, JUDAC- en JUWELS-supercomputers is gesloten na een ‘informatiebeveiligingsincident’. Bovendien sloot het Swiss Center for Scientific Computing in Zürich na het informatiebeveiligingsincident ook de externe toegang tot de infrastructuur van zijn computerclusters af “totdat een veilige omgeving is hersteld.”
Geen van de genoemde organisaties heeft details gepubliceerd over de incidenten die hebben plaatsgevonden. Het Information Security Incident Response Team (CSIRT), dat onderzoek naar supercomputers in heel Europa coördineert, heeft echter malwaremonsters en aanvullende gegevens over enkele van de incidenten gepubliceerd.
Monsters van malware zijn onderzocht door specialisten van het Amerikaanse bedrijf Cado Security, dat zich bezighoudt met informatiebeveiliging. Volgens experts hebben de aanvallers toegang gekregen tot supercomputers via gecompromitteerde gebruikersgegevens en SSH-sleutels. Er wordt ook aangenomen dat inloggegevens zijn gestolen van medewerkers van universiteiten in Canada, China en Polen, die toegang hadden tot computerclusters om verschillende onderzoeken uit te voeren.
Hoewel er geen officieel bewijs is dat alle aanvallen door één groep hackers zijn uitgevoerd, duiden soortgelijke malwarebestandsnamen en netwerkidentificaties erop dat de reeks aanvallen door één enkele groep is uitgevoerd. Cado Security is van mening dat aanvallers een exploit voor de CVE-2019-15666-kwetsbaarheid hebben gebruikt om toegang te krijgen tot supercomputers, en vervolgens software hebben ingezet voor het minen van de Monero-cryptocurrency (XMR).
Het is vermeldenswaard dat veel van de organisaties die deze week gedwongen werden de toegang tot supercomputers te sluiten, eerder hadden aangekondigd dat zij prioriteit gaven aan onderzoek naar COVID-19.
Bron: 3dnews.ru