Okazało się, że w tym tygodniu kilka superkomputerów z różnych krajów regionu europejskiego zostało zainfekowanych złośliwym oprogramowaniem służącym do wydobywania kryptowalut. Incydenty tego typu miały miejsce w Wielkiej Brytanii, Niemczech, Szwajcarii i Hiszpanii.
Pierwszy raport o ataku napłynął w poniedziałek z Uniwersytetu w Edynburgu, gdzie znajduje się superkomputer ARCHER. Na stronie internetowej instytucji opublikowano odpowiedni komunikat oraz zalecenie zmiany haseł użytkowników i kluczy SSH.
Tego samego dnia organizacja BwHPC, która koordynuje projekty badawcze nad superkomputerami, ogłosiła konieczność zawieszenia dostępu do pięciu klastrów obliczeniowych w Niemczech w celu zbadania „incydentów bezpieczeństwa”.
Doniesienia były kontynuowane w środę, kiedy badacz bezpieczeństwa Felix von Leitner napisał na blogu, że dostęp do superkomputera w Barcelonie w Hiszpanii został zamknięty na czas prowadzenia dochodzenia w sprawie incydentu cyberbezpieczeństwa.
Następnego dnia podobne wiadomości nadeszły z Leibniz Computing Center, instytutu Bawarskiej Akademii Nauk, a także z Centrum Badawczego Jülich, zlokalizowanego w niemieckim mieście o tej samej nazwie. Urzędnicy ogłosili, że dostęp do superkomputerów JURECA, JUDAC i JUWELS został zamknięty w związku z „incydentem związanym z bezpieczeństwem informacji”. Ponadto Szwajcarskie Centrum Obliczeń Naukowych w Zurychu również zamknęło zewnętrzny dostęp do infrastruktury swoich klastrów obliczeniowych po incydencie związanym z bezpieczeństwem informacji „do czasu przywrócenia bezpiecznego środowiska”.
Żadna z wymienionych organizacji nie opublikowała żadnych szczegółów dotyczących zaistniałych incydentów. Jednakże zespół reagowania na incydenty związane z bezpieczeństwem informacji (CSIRT), który koordynuje badania nad komputerami superkomputerowymi w całej Europie, opublikował próbki złośliwego oprogramowania i dodatkowe dane na temat niektórych incydentów.
Próbki szkodliwego oprogramowania zostały zbadane przez specjalistów z amerykańskiej firmy Cado Security, która zajmuje się bezpieczeństwem informacji. Według ekspertów napastnicy uzyskali dostęp do superkomputerów poprzez przejęte dane użytkownika i klucze SSH. Uważa się również, że dane uwierzytelniające zostały skradzione pracownikom uniwersytetów w Kanadzie, Chinach i Polsce, którzy mieli dostęp do klastrów obliczeniowych w celu prowadzenia różnych badań.
Chociaż nie ma oficjalnych dowodów na to, że wszystkie ataki przeprowadziła jedna grupa hakerów, podobne nazwy plików szkodliwego oprogramowania i identyfikatory sieci wskazują, że serię ataków przeprowadziła jedna grupa. Cado Security uważa, że napastnicy wykorzystali exploita wykorzystującego lukę CVE-2019-15666, aby uzyskać dostęp do superkomputerów, a następnie wdrożyli oprogramowanie do wydobywania kryptowaluty Monero (XMR).
Warto zauważyć, że wiele organizacji, które w tym tygodniu zostały zmuszone do zamknięcia dostępu do superkomputerów, ogłosiło wcześniej, że priorytetowo traktują badania nad COVID-19.
Źródło: 3dnews.ru