Суперкомпьютеры по всей Европе подверглись атаке криптомайнеров
Стало известно о том, что несколько суперкомпьютеров из разных стран европейского региона на этой неделе были заражены вредоносным ПО для майнинга криптовалют. Инциденты такого рода произошли в Великобритании, Германии, Швейцарии и Испании.
Первое сообщение об атаке поступило в понедельник из Эдинбургского университета, на площадке которого размещен суперкомпьютер ARCHER. Соответствующее сообщение и рекомендация сменить пользовательские пароли и SSH-ключи были опубликованы на веб-сайте учреждения.
В этот же день организация BwHPC, занимающаяся координацией исследовательских проектов на суперкомпьютерах, объявила о необходимости приостановить доступ к пяти вычислительным кластерам на территории Германии для проведения расследования "инцидентов безопасности".
Сообщения подобного рода продолжили поступать в среду, когда исследователь в сфере информационной безопасности Феликс фон Лейтнер (Felix von Leitner) написал в своем блоге о том, что доступ к находящемуся в испанской Барселоне суперкомпьютеру закрыт на время проведения расследования инцидента кибербезопасности.
На следующий день аналогичные сообщения поступили из Лейбницкого вычислительного центра, института при Баварской академии наук, а также из исследовательского центра Юлих, расположенного в одноименном немецком городе. Официальные лица заявили о том, что после "инцидента с информационной безопасностью" закрыт доступ к суперкомпьютерам JURECA, JUDAC и JUWELS. Кроме того, Швейцарский центр научных вычислений в Цюрихе также закрыл внешний доступ к инфраструктуре своих вычислительных кластеров после инцидента с информационной безопасностью "до восстановления безопасной среды".
Ни одна из упомянутых организаций не опубликовала каких-либо подробностей относительно произошедших инцидентов. Тем не менее, Группа реагирования на инциденты информационной безопасности (CSIRT), которая координирует исследования с использованием суперкомпьютеров по всей Европе, опубликовала образцы вредоносных программ и дополнительные данные по некоторым инцидентам.
Образцы вредоносных программ были рассмотрены специалистами американской компании Cado Security, работающей в сфере информационной безопасности. По мнению специалистов, злоумышленники получили доступ к суперкомпьютерам через скомпрометированные пользовательские данные и ключи SSH. Также предполагается, что учетные данные были украдены у сотрудников университетов Канады, Китая и Польши, которые имели доступ к вычислительным кластерам для проведения разных исследований.
Несмотря на то, что нет официальных доказательств того, что все атаки были осуществлены одной группой хакеров, схожие имена файлов вредоносного ПО и сетевые идентификаторы указывают на то, что серия атак осуществлена одной группировкой. В Cado Security считают, что злоумышленники для доступа к суперкомпьютерам использовали эксплойт для уязвимости CVE-2019-15666, а после этого осуществляли развертывания ПО для майнинга криптовалюты Monero (XMR).
Стоит отметить, что многие организации, которые были вынуждены закрыть доступ к суперкомпьютерам на этой неделе, ранее объявили о том, что отдают приоритет исследованиям коронавирусной инфекции COVID-19.