A devenit cunoscut faptul că mai multe supercomputere din diferite țări din regiunea europeană au fost infectate cu malware pentru extragerea criptomonedelor în această săptămână. Incidente de acest tip au avut loc în Marea Britanie, Germania, Elveția și Spania.
Primul raport al atacului a venit luni de la Universitatea din Edinburgh, unde se află supercomputerul ARCHER. Pe site-ul instituției au fost publicate un mesaj corespunzător și o recomandare de schimbare a parolelor utilizatorului și a cheilor SSH.
În aceeași zi, organizația BwHPC, care coordonează proiecte de cercetare pe supercomputere, a anunțat necesitatea suspendării accesului la cinci clustere de calcul din Germania pentru a investiga „incidente de securitate”.
Rapoartele au continuat miercuri, când cercetătorul de securitate Felix von Leitner a scris pe blog că accesul la un supercomputer din Barcelona, Spania, a fost închis în timp ce se desfășura o investigație asupra incidentului de securitate cibernetică.
A doua zi, mesaje similare au venit de la Centrul de calcul Leibniz, un institut al Academiei de Științe din Bavaria, precum și de la Centrul de Cercetare Jülich, situat în orașul german cu același nume. Oficialii au anunțat că accesul la supercalculatoarele JURECA, JUDAC și JUWELS a fost închis în urma unui „incident de securitate a informațiilor”. În plus, Centrul Elvețian pentru Calcul Științific din Zurich a închis, de asemenea, accesul extern la infrastructura clusterelor sale de calcul după incidentul de securitate a informațiilor „până la restabilirea unui mediu securizat”.
Niciuna dintre organizațiile menționate nu a publicat detalii cu privire la incidentele care au avut loc. Cu toate acestea, Echipa de răspuns la incidente de securitate a informațiilor (CSIRT), care coordonează cercetarea în domeniul supercalculaturii în Europa, a publicat mostre de malware și date suplimentare despre unele dintre incidente.
Mostre de malware au fost examinate de specialiștii companiei americane Cado Security, care activează în domeniul securității informațiilor. Potrivit experților, atacatorii au obținut acces la supercomputere prin date compromise ale utilizatorului și chei SSH. De asemenea, se crede că acreditările au fost furate de la angajații universităților din Canada, China și Polonia, care au avut acces la clustere de calcul pentru a efectua diverse cercetări.
Deși nu există dovezi oficiale că toate atacurile au fost efectuate de un singur grup de hackeri, nume similare de fișiere malware și identificatori de rețea indică faptul că seria de atacuri a fost efectuată de un singur grup. Cado Security consideră că atacatorii au folosit un exploit pentru vulnerabilitatea CVE-2019-15666 pentru a accesa supercomputere și apoi au implementat software pentru extragerea criptomonedei Monero (XMR).
Este de remarcat faptul că multe dintre organizațiile care au fost forțate să închidă accesul la supercomputere săptămâna aceasta anunțaseră anterior că acordă prioritate cercetării COVID-19.
Sursa: 3dnews.ru