Подтвержденные взломы были зарегистрированы в Великобритании, Германии, Швейцарии и в Испании.
Несколько суперкомпьютеров по всей Европе были заражены на этой неделе вредоносным ПО для майнинга криптовалют и были остановлены для расследования атак.
Об инцидентах вторжения сообщалось в Великобритании, Германии и Швейцарии, хотя, по слухам, подобное вторжение также произошло в высокопроизводительном вычислительном центре, расположенном в Испании.
Первое сообщение об атаке стало известно в понедельник из Эдинбургского университета, в котором работает суперкомпьютер ARCHER. Организация сообщила об «использовании безопасности на узлах входа в ARCHER», закрыла систему ARCHER для расследования и сбросила пароли SSH для предотвращения дальнейших вторжений.
BwHPC, организация, которая координирует исследовательские проекты на суперкомпьютерах в штате Баден-Вюртемберг, Германия, также объявила в понедельник, что пять из ее высокопроизводительных вычислительных кластеров должны быть закрыты из-за подобных «инцидентов». Это включало:
Суперкомпьютер Hawk в Высокопроизводительном вычислительном центре Штутгарта (HLRS) в Университете Штутгарта
Кластеры bwUniCluster 2.0 и ForHLR II в Технологическом институте Карлсруэ (KIT)
Суперкомпьютер bwForCluster JUSTUS для химии и квантовой науки в Ульмском университете
Суперкомпьютер биоинформатики bwForCluster BinAC в Тюбингенском университете
Сообщения продолжались в среду, когда исследователь безопасности Феликс фон Лейтнер заявил в своем блоге, что на суперкомпьютер, расположенный в Барселоне, Испания, также затронула проблема безопасности, и в результате он был закрыт.
Больше инцидентов всплыло на следующий день, в четверг. Первый из них поступил из Лейбницкого вычислительного центра (LRZ), института при Баварской академии наук, который заявил, что после нарушения безопасности был отключен вычислительный кластер от Интернета.
За объявлением LRZ позже в тот же день последовал другой из исследовательского центра Julich в городе Julich, Германия. Официальные лица заявили, что им пришлось закрыть суперкомпьютеры JURECA, JUDAC и JUWELS после «инцидента с информационной безопасностью».
Новые вторжения в субботу. Немецкий ученый Роберт Хеллинг опубликовал анализ вредоносных программ, которые заразили высокопроизводительный вычислительный кластер на физическом факультете Университета Людвига-Максимилиана в Мюнхене, Германия.
Швейцарский центр научных вычислений (CSCS) в Цюрихе, Швейцария, также закрыл внешний доступ к своей суперкомпьютерной инфраструктуре после «кибер-инцидента» и «до восстановления безопасной среды».
Ни одна из вышеперечисленных организаций не опубликовала никаких подробностей о вторжениях. Однако ранее сегодня Группа реагирования на инциденты компьютерной безопасности (CSIRT) для европейской грид-инфраструктуры (EGI), организации, которая координирует исследования суперкомпьютеров по всей Европе, выпустила образцы вредоносных программ и показатели компрометации сети по некоторым из этих инцидентов.
Образцы вредоносных программ были рассмотрены ранее сегодня Cado Security, американской компанией по кибербезопасности. Компания заявила, что злоумышленники, похоже, получили доступ к суперкомпьютерным кластерам через скомпрометированные учетные данные SSH.
Кажется, что учетные данные были украдены у членов университета, которым был предоставлен доступ к суперкомпьютерам для выполнения вычислительных заданий. Захваченные SSH логины принадлежали университетам в Канаде, Китае и Польше.
Крис Доман, соучредитель Cado Security, заявил сегодня ZDNet, что, хотя нет официальных доказательств, подтверждающих, что все вторжения были осуществлены одной и той же группой, такие доказательства, как схожие имена файлов вредоносных программ и сетевые индикаторы, указывают на то, что за атаками стоят одни и те же хакеры.
Согласно анализу Домана, когда злоумышленники получили доступ к узлу суперкомпьютера, они, похоже, использовали эксплойт для уязвимости CVE-2019-15666 для получения корневого доступа, а затем развернули приложение, которое добывало криптовалюту Monero (XMR).
Хуже того, многие организации, у которых на этой неделе вышли из строя суперкомпьютеры, объявили в предыдущие недели, что они отдают приоритет исследованиям вспышки COVID-19, которая в настоящее время, скорее всего, затруднена из-за вторжения и последующего простоя.
Эти инциденты — не первый случай, когда вредоносное ПО для майнинга устанавливается на суперкомпьютеры. Тем не менее, это первый раз, когда хакеры сделали это. В предыдущих случаях, как правило, служащий устанавливал майнер криптовалюты ради собственной выгоды.
Например, в феврале 2018 года в России арестовали инженеров из Российского ядерного центра, установивших программное обеспечение для майнинга.
https://www.zdnet.com/article/supercomputers-hacked-across-europe-to-mine-cryptocurrency/
