" На этой неделе хакеры атаковали несколько суперкомпьютеров по всей Европе с намерением добывать на них криптовалюты. Кластеры суперкомпьютеров были вынуждены закрыться для расследования атак, согласно расследованию ZDNet от 16 мая.
Об этих инцидентах безопасности сообщалось в Великобритании, Германии и Швейцарии. Кроме того, еще одна возможная атака произошла в высокопроизводительном компьютерном центре в Испании.
Атакованы крупнейшие университеты Европы
Большинство атак, похоже, были направлены на университеты. Университет Эдинбурга, в котором работает суперкомпьютер ARCHER, сообщил о первом инциденте в понедельник.
Затем высокопроизводительные вычислительные кластеры крупных университетов Баден-Вюртемберга (Германия) также объявили о том, что в понедельник на их оборудование была совершена атака с аналогичными инцидентами безопасности, в результате чего их пришлось закрыть.
Больше атак произошло в других частях Германии, Испании и Швейцарии в конце недели. Кластеры в вычислительном центре Лейбница, или LRZ, институте при Баварской академии наук, Исследовательском центре Юлиха в городе Юлих (Германия), и Швейцарском центре научных вычислений, или CSCS, в Цюрихе (Швейцария), стали жертвами этой атаки.
Логины SSH были скомпрометированы для майнинга криптовалюты
Ни одна из вышеперечисленных организаций не опубликовала никаких подробностей о вторжениях. Однако ранее сегодня Группа реагирования на инциденты компьютерной безопасности (CSIRT) выпустила образцы вредоносных программ и индикаторы компрометации сети по некоторым из этих инцидентов.
Образцы вредоносных программ были рассмотрены ранее сегодня Cado Security, американской компанией по кибербезопасности, заявившей, что злоумышленники, похоже, получили доступ к суперкомпьютерным кластерам через скомпрометированные учетные данные SSH.
Учетные данные были украдены у членов университета, которым был предоставлен доступ к суперкомпьютерам для выполнения вычислительных заданий. Захваченные SSH логины принадлежали университетам в Канаде, Китае и Польше.
Крис Доман, соучредитель Cado Security, заявил, что, хотя нет официальных доказательств, подтверждающих, что все вторжения были осуществлены одной и той же группой, такие доказательства, как схожие имена файлов вредоносных программ и сетевые индикаторы, указывают на то, что это может быть один хакер или группа.
Согласно анализу Домана, когда злоумышленники получили доступ к суперкомпьютерному узлу, они, похоже, использовали эксплойт для уязвимости CVE-2019-15666 для получения корневого доступа, а затем развернули приложение, которое добывало криптовалюту Monero (XMR).
Исугубляет ситуацию и тот факт, что многие организации, у которых на этой неделе вышли из строя суперкомпьютеры, объявили в предыдущие недели, что они отдают приоритет исследованиям вспышки COVID-19, которые в настоящее время затруднены из-за этой атаки.
Не первый инцидент в своем роде
Эти инциденты стали не первым случаем, когда хакры пыталисб установить вредоносное ПО для крипто-майнинга на суперкомпьютеры. Тем не менее, это первый раз, когда им это удалось. В предыдущих случаях, как правило, служащий устанавливал майнер криптовалюты ради собственной выгоды.
Например, в феврале 2018 года российские власти арестовали инженеров из Российского ядерного центра за использование суперкомпьютера агентства для майнинга криптовалюты.
Месяц спустя австралийские чиновники начали расследование аналогичного случая в Бюро метеорологии, где сотрудники использовали суперкомпьютер агентства для добычи цифровых валют.
