Европейские суперкомпьютеры атакованы хакерским ПО для майнинга криптовалют

На этой неделе хакеры атаковали несколько суперкомпьютеров по всей Европе с намерением добывать на них криптовалюты. Кластеры суперкомпьютеров были вынуждены закрыться для расследования атак, согласно расследованию ZDNet от 16 мая.

Об этих инцидентах безопасности сообщалось в Великобритании, Германии и Швейцарии. Кроме того, еще одна возможная атака произошла в высокопроизводительном компьютерном центре в Испании.

Большинство атак, похоже, были направлены на университеты. Университет Эдинбурга, в котором работает суперкомпьютер ARCHER, сообщил о первом инциденте в понедельник.

Затем высокопроизводительные вычислительные кластеры крупных университетов Баден-Вюртемберга (Германия) также объявили о том, что в понедельник на их оборудование была совершена атака с аналогичными инцидентами безопасности, в результате чего их пришлось закрыть.

Больше атак произошло в других частях Германии, Испании и Швейцарии в конце недели. Кластеры в вычислительном центре Лейбница, или LRZ, институте при Баварской академии наук, Исследовательском центре Юлиха в городе Юлих (Германия), и Швейцарском центре научных вычислений, или CSCS, в Цюрихе (Швейцария), стали жертвами этой атаки.

Ни одна из вышеперечисленных организаций не опубликовала никаких подробностей о вторжениях. Однако ранее сегодня Группа реагирования на инциденты компьютерной безопасности (CSIRT) выпустила образцы вредоносных программ и индикаторы компрометации сети по некоторым из этих инцидентов.

Образцы вредоносных программ были рассмотрены ранее сегодня Cado Security, американской компанией по кибербезопасности, заявившей, что злоумышленники, похоже, получили доступ к суперкомпьютерным кластерам через скомпрометированные учетные данные SSH.

Учетные данные были украдены у членов университета, которым был предоставлен доступ к суперкомпьютерам для выполнения вычислительных заданий. Захваченные SSH логины принадлежали университетам в Канаде, Китае и Польше.

Крис Доман, соучредитель Cado Security, заявил, что, хотя нет официальных доказательств, подтверждающих, что все вторжения были осуществлены одной и той же группой, такие доказательства, как схожие имена файлов вредоносных программ и сетевые индикаторы, указывают на то, что это может быть один хакер или группа.

Согласно анализу Домана, когда злоумышленники получили доступ к суперкомпьютерному узлу, они, похоже, использовали эксплойт для уязвимости CVE-2019-15666 для получения корневого доступа, а затем развернули приложение, которое добывало криптовалюту Monero (XMR).

Исугубляет ситуацию и тот факт, что многие организации, у которых на этой неделе вышли из строя суперкомпьютеры, объявили в предыдущие недели, что они отдают приоритет исследованиям вспышки COVID-19, которые в настоящее время затруднены из-за этой атаки.

Эти инциденты стали не первым случаем, когда хакры пыталисб установить вредоносное ПО для крипто-майнинга на суперкомпьютеры. Тем не менее, это первый раз, когда им это удалось. В предыдущих случаях, как правило, служащий устанавливал майнер криптовалюты ради собственной выгоды.

Например, в феврале 2018 года российские власти арестовали инженеров из Российского ядерного центра за использование суперкомпьютера агентства для майнинга криптовалюты.

Месяц спустя австралийские чиновники начали расследование аналогичного случая в Бюро метеорологии, где сотрудники использовали суперкомпьютер агентства для добычи цифровых валют.