Численні суперкомп’ютери по всій Європі цього тижня були заражені шкідливим ПЗ, яке призначалося для майнінгу криптовалюти, і були закриті для розслідування вторгнень. Про інциденти безпеки повідомлялося у Великій Британії, Німеччині і Швейцарії. Хоча, за чутками, подібне також відбулося у високопродуктивному обчислювальному центрі, розташованому в Іспанії.
Перше повідомлення про атаку з’явилося в понеділок з Единбурзького університету, в якому працює суперкомп’ютер ARCHER. Організація повідомила про «використання безпеки на вузлах входу в ARCHER», закрила систему для розслідування і скинула паролі SSH для запобігання подальших вторгнень.
- Pingvin Pro запускає базу даних смартфонів українською мовою!
- Міненерго пропонує використовувати АЕС для майнінгу криптовалют
- Майнінг криптовалюти відбувався прямо на Южно-Українській АЕС
- Хакери видавали себе за Zoom, Microsoft Teams та Google Meet для фішингу
BwHPC, організація, яка координує дослідницькі проєкти на суперкомп’ютерах в Баден-Вюртемберзі (Німеччина), також оголосила в понеділок, що п’ять з її високопродуктивних обчислювальних кластерів повинні бути закриті через аналогічні «інциденти безпеки». Зокрема:
- Суперкомп’ютер Hawk у високопродуктивному обчислювальному центрі Штутгарта (HLRS) в Університеті Штутгарта
- Кластери bwUniCluster 2.0 і ForHLR II в Технологічному інституті Карлсруе (KIT)
- Суперкомп’ютер bwForCluster JUSTUS для хімії і квантової науки в Ульмському університеті
- Суперкомп’ютер біоінформатики bwForCluster BinAC в Тюбінгенському університеті
Дослідник безпеки Фелікс фон Лейтнера, у середу, заявив в своєму блозі, що на суперкомп’ютер, розташований в Барселоні (Іспанія), також вплинула проблема безпеки, і в результаті він був закритий.
Про більше інцидентів було повідомлено у четвер. Перший з них надійшов з Лейбніцького обчислювального центру (LRZ), інституту при Баварській академії наук. В результаті атаки було відключено обчислювальний кластер від Інтернету.
В той же день надійшли дані з дослідницького центру в місті Юліх (Німеччина). Представники центру заявили, що їм довелося закрити суперкомп’ютери JURECA, JUDAC і JUWELS після проблем з безпекою. Аналогічно, як і Технічний університет у Дрездені, який оголосив, що також закрив свій суперкомп’ютер Taurus.
Подібна атака була спрямована і на високопродуктивний обчислювальний кластер на фізичному факультеті Університету Людвіга-Максиміліана в Мюнхені (Німеччина). А також «зачепило» Швейцарський центр наукових обчислень (CSCS) в Цюріху (Швейцарія).
Хакери отримали паролі
Перераховані вище організації не опублікували жодних подробиць про вторгнення. Однак, Група реагування на інциденти з комп’ютерної безпеки (CSIRT), яка координує дослідження суперкомп’ютерів по всій Європі, випустила зразки шкідливих програм та індикатори компрометації мережі за деякими з цих інцидентів.
Зразки шкідливих програм були розглянуті американською компанією з кібербезпеки Cado Security. Вона заявила, що зловмисники, схоже, отримали доступ до суперкомп’ютерних кластерів через скомпрометовані облікові дані SSH. Здається, що облікові дані були вкрадені у членів університету, яким було надано доступ до суперкомп’ютерів для виконання обчислювальних завдань. Отримані SSH логіни належали університетам в Канаді, Китаї та Польщі.
Кріс Доман, співзасновник Cado Security, заявив, що немає офіційних доказів, що всі атаки були здійснені однією групою хакерів. Однак, такі докази, як схожі назви файлів шкідливих програм та мережеві індикатори вказують на те, що це може бути одна група.
Згідно з аналізом Домана, коли зловмисники отримали доступ до суперкомп’ютерних вузлів, вони використовували експлойт для уразливості CVE-2019-15666, а потім запустили додаток, який видобував криптовалюту Monero.
Найгірше те, що більшість з атакованих організацій оголосили кілька тижнів тому, що зараз зосереджені на дослідженні коронавірусу COVID-19. І тепер, через цю атаку, їхня робота вимушено зупинилась.
Це не вперше, коли шкідливе ПЗ встановлюється на суперкомп’ютери для майнінгу криптовалюти. Однак, це вперше зроблено хакерами. У попередніх випадках, як правило, це робилося співробітниками самих організацій.