Soube-se que esta semana vários supercomputadores de diferentes países da região europeia foram infectados com malware para mineração de criptomoedas. Incidentes deste tipo ocorreram no Reino Unido, Alemanha, Suíça e Espanha.
O primeiro relato do ataque veio na segunda-feira da Universidade de Edimburgo, onde está localizado o supercomputador ARCHER. Uma mensagem correspondente e uma recomendação para alteração de senhas de usuários e chaves SSH foram publicadas no site da instituição.
No mesmo dia, a organização BwHPC, que coordena projetos de investigação em supercomputadores, anunciou a necessidade de suspender o acesso a cinco clusters computacionais na Alemanha para investigar “incidentes de segurança”.
Os relatos continuaram na quarta-feira, quando o pesquisador de segurança Felix von Leitner postou em seu blog que o acesso a um supercomputador em Barcelona, Espanha, havia sido fechado enquanto uma investigação sobre o incidente de segurança cibernética era conduzida.
No dia seguinte, mensagens semelhantes chegaram do Centro de Computação Leibniz, instituto da Academia de Ciências da Baviera, bem como do Centro de Pesquisa Jülich, localizado na cidade alemã de mesmo nome. As autoridades anunciaram que o acesso aos supercomputadores JURECA, JUDAC e JUWELS foi fechado após um “incidente de segurança da informação”. Além disso, o Centro Suíço de Computação Científica em Zurique também fechou o acesso externo à infraestrutura dos seus clusters de computação após o incidente de segurança da informação “até que um ambiente seguro seja restaurado”.
Nenhuma das organizações mencionadas publicou quaisquer detalhes sobre os incidentes ocorridos. No entanto, a Equipa de Resposta a Incidentes de Segurança da Informação (CSIRT), que coordena a investigação sobre supercomputação em toda a Europa, publicou amostras de malware e dados adicionais sobre alguns dos incidentes.
Amostras de malware foram examinadas por especialistas da empresa americana Cado Security, que atua na área de segurança da informação. De acordo com especialistas, os invasores obtiveram acesso a supercomputadores por meio de dados de usuários e chaves SSH comprometidos. Acredita-se também que foram roubadas credenciais de funcionários de universidades no Canadá, China e Polônia, que tiveram acesso a clusters de computação para realizar diversas pesquisas.
Embora não haja evidências oficiais de que todos os ataques foram realizados por um único grupo de hackers, nomes de arquivos de malware e identificadores de rede semelhantes indicam que a série de ataques foi realizada por um único grupo. A Cado Security acredita que os invasores usaram uma exploração da vulnerabilidade CVE-2019-15666 para acessar supercomputadores e, em seguida, implantaram software para minerar a criptomoeda Monero (XMR).
É importante notar que muitas das organizações que foram forçadas a fechar o acesso aos supercomputadores esta semana já tinham anunciado anteriormente que estavam a dar prioridade à investigação da COVID-19.
Fonte: 3dnews.ru