Декілька суперкомп'ютерів з різних країн європейського регіону на цьому тижні були заражені шкідливим ПЗ для майнінгу криптовалют. Інциденти такого роду сталися у Великій Британії, Німеччині, Швейцарії та Іспанії.
Перше повідомлення про атаку надійшло в понеділок з Единбурзького університету, на майданчику якого розміщено суперкомп'ютер ARCHER. Відповідне повідомлення та рекомендація змінити паролі користувача та SSH-ключі були опубліковані на веб-сайті установи.
У цей же день організація BwHPC, що займається координацією дослідницьких проектів на суперкомп'ютерах, оголосила про необхідність призупинити доступ до п'яти обчислювальних кластерів на території Німеччини для розслідування «інцидентів безпеки».
Повідомлення подібного роду продовжили надходити в середу, коли дослідник у сфері інформаційної безпеки Фелікс фон Лейтнер (Felix von Leitner) написав у своєму блозі про те, що доступ до суперкомп'ютера, що знаходиться в іспанській Барселоні, закритий на час проведення розслідування інциденту кібербезпеки.
Наступного дня аналогічні повідомлення надійшли з Лейбницького обчислювального центру, інституту при Баварській академії наук, а також дослідницького центру Юліх, розташованого в однойменному німецькому місті. Офіційні особи заявили про те, що після «інциденту з інформаційною безпекою» закрито доступ до суперкомп'ютерів JURECA, JUDAC та JUWELS. Крім того, Швейцарський центр наукових обчислень у Цюріху також закрив зовнішній доступ до інфраструктури своїх обчислювальних кластерів після інциденту з інформаційною безпекою «до відновлення безпечного середовища».
Жодна зі згаданих організацій не опублікувала жодних подробиць щодо інцидентів. Тим не менш, Група реагування на інциденти інформаційної безпеки (CSIRT), яка координує дослідження з використанням суперкомп'ютерів по всій Європі, опублікувала зразки шкідливих програм та додаткові дані щодо деяких інцидентів.
Зразки шкідливих програм було розглянуто фахівцями американської компанії Cado Security, яка працює у сфері інформаційної безпеки. На думку фахівців, зловмисники отримали доступ до суперкомп'ютерів через скомпрометовані дані користувача та ключі SSH. Також передбачається, що облікові дані були вкрадені у співробітників університетів Канади, Китаю та Польщі, які мали доступ до обчислювальних кластерів для проведення різних досліджень.
Незважаючи на те, що немає офіційних доказів того, що всі атаки були здійснені однією групою хакерів, імена файлів шкідливого ПЗ і мережні ідентифікатори вказують на те, що серія атак здійснена одним угрупуванням. У Cado Security вважають, що зловмисники для доступу до суперкомп'ютерів використовували експлойт для вразливості CVE-2019-15666, а після цього здійснювали розгортання програмного забезпечення для майнінгу криптовалюти Monero (XMR).
Варто зазначити, що багато організацій, які були змушені закрити доступ до суперкомп'ютерів цього тижня, раніше оголосили про те, що надають пріоритет дослідженням коронавірусної інфекції COVID-19.
Джерело: 3dnews.ru