Det ble kjent at flere superdatamaskiner fra forskjellige land i den europeiske regionen ble infisert med skadelig programvare for gruvedrift av kryptovalutaer denne uken. Hendelser av denne typen har skjedd i Storbritannia, Tyskland, Sveits og Spania.
Den første rapporten om angrepet kom mandag fra University of Edinburgh, der superdatamaskinen ARCHER befinner seg. En tilsvarende melding og en anbefaling om å endre brukerpassord og SSH-nøkler ble publisert på institusjonens hjemmeside.
Samme dag kunngjorde BwHPC-organisasjonen, som koordinerer forskningsprosjekter på superdatamaskiner, behovet for å suspendere tilgangen til fem dataklynger i Tyskland for å undersøke «sikkerhetshendelser».
Rapportene fortsatte onsdag da sikkerhetsforsker Felix von Leitner blogget at tilgangen til en superdatamaskin i Barcelona, Spania, var stengt mens en etterforskning av cybersikkerhetshendelsen ble utført.
Dagen etter kom lignende meldinger fra Leibniz Computing Center, et institutt ved Bavarian Academy of Sciences, samt fra Jülich Research Center, som ligger i den tyske byen med samme navn. Tjenestemenn kunngjorde at tilgangen til superdatamaskinene JURECA, JUDAC og JUWELS er stengt etter en «informasjonssikkerhetshendelse». I tillegg stengte det sveitsiske senteret for vitenskapelig databehandling i Zürich også ekstern tilgang til infrastrukturen til sine dataklynger etter informasjonssikkerhetshendelsen «inntil et sikkert miljø er gjenopprettet».
Ingen av de nevnte organisasjonene har offentliggjort noen detaljer om hendelsene som har skjedd. Imidlertid har Information Security Incident Response Team (CSIRT), som koordinerer superdatabehandlingsforskning over hele Europa, publisert skadevareprøver og tilleggsdata om noen av hendelsene.
Prøver av skadevare ble undersøkt av spesialister fra det amerikanske selskapet Cado Security, som jobber innen informasjonssikkerhet. Ifølge eksperter fikk angriperne tilgang til superdatamaskiner gjennom kompromitterte brukerdata og SSH-nøkler. Det antas også at legitimasjon ble stjålet fra ansatte ved universiteter i Canada, Kina og Polen, som hadde tilgang til dataklynger for å utføre ulike undersøkelser.
Selv om det ikke er offisielle bevis for at alle angrepene ble utført av en enkelt gruppe hackere, indikerer lignende skadevarefilnavn og nettverksidentifikatorer at serien med angrep ble utført av en enkelt gruppe. Cado Security mener at angripere brukte en utnyttelse for CVE-2019-15666-sårbarheten for å få tilgang til superdatamaskiner, og deretter distribuerte programvare for utvinning av Monero-kryptovalutaen (XMR).
Det er verdt å merke seg at mange av organisasjonene som ble tvunget til å stenge tilgangen til superdatamaskiner denne uken tidligere hadde kunngjort at de prioriterte COVID-19-forskning.
Kilde: 3dnews.ru