Za włamaniami może stać jedna grupa.

Na superkomputerach w różnych krajach Europy w zeszłym tygodniu zainstalowane zostało złośliwe oprogramowanie wydobywające kryptowalutę Monero. Nie do końca jasne są motywacje hakerów.

Cel przestępców może być wyłącznie materialny – dzięki swej mocy superkomputery mogą wydobywać kryptowaluty skuteczniej niż zwykłe PC. Istnieje jednak podejrzenie, że atak ma związek z faktem, że wiele z tych specjalnych sprzętów czasowo zmieniło swoje przeznaczenie i zajęło się badaniami na potrzeby walki z Covid-19. Celem może więc być zakłócenie badań lub kradzież ich wyników.

Europejska fala

Zaczęło się od Uniwersytetu w Edynburgu, w którym działa superkomputer ARCHER. W poniedziałek 11 maja zostało zgłoszone naruszenie bezpieczeństwa w węzłach logowania ARCHER. System został zamknięty w celu zbadania i zresetowała hasła SSH.

Tego samego dnia organizacja BwHPC koordynująca projekty badawcze na superkomputerach w Badenii-Wirtembergii w Niemczech podała, że 5 z jej wysokowydajnych klastrów obliczeniowych musiało zostać zamkniętych z powodu podobnych incydentów bezpieczeństwa.

W środę pojawiła się o informacja o problemie z superkomputerem w Barcelonie w Hiszpanii, w czwartek natomiast nastąpiła cała fala zgłoszeń: z Centrum Komputerowego w Leibniz (LRZ), które po naruszeniu bezpieczeństwa odłączyło swój klaster obliczeniowy od internetu, z Centrum Badawczego Julich w Niemczech, gdzie musiały zostać wyłączone superkomputery JURECA, JUDAC i JUWELS, z Politechniki w Dreźnie, która musiała zatrzymać pracę superkomputera Taurus.

Ostatni weekend przyniósł kolejne informacje. Niemiecki naukowiec Robert Helling opublikował analizę szkodliwego oprogramowania, które zainfekowało wysokowydajny klaster obliczeniowy na Uniwersytecie Ludwika i Maksymiliana w Monachium. Także Szwajcarskie Centrum Obliczeń Naukowych (CSCS) w Zurychu zamknęło zewnętrzny dostęp do swoich superkomputerów po zarejestrowanym „incydencie cyfrowym".

Jeden schemat

W każdym przypadku atakujący uzyskali dostęp do komputerów poprzez dane logowania SSH. Choć poszczególne organizacje nie ujawniały szczegółów dotyczących włamań, to Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego dla Europejskiej Sieci Infrastrukturalnej (EGI CSIRT) opublikował próbki szkodliwego oprogramowania dla niektórych z tych incydentów.

Zostały one sprawdzone przez Cado Security, brytyjską firmę zajmującą się cyberbezpieczeństwem. Potwierdzono, że osoby atakujące uzyskały dostęp do superkomputerów poprzez zhakowanie danych uwierzytelniających SSH z uczelni, które korzystały z obliczeń superkomputerów. Były to jednostki w Kanadzie, Chinach i Polsce (według EGI CSIRT chodzi o Uniwersytet Pedagogiczny w Krakowie).

Podobieństwo w nazwach plików złośliwego oprogramowania i wskaźnikach sieciowych może wskazywać na to, że za wszystkie incydenty odpowiada jedna grupa przestępcza, która – zdaniem Chrisa Domana z Cado Security – wykorzystała lukę w zabezpieczeniach CVE-2019-15666 w celu uzyskania dostępu do katalogu głównego, a następnie wdrożyła aplikację wydobywającą kryptowalutę Monero (XMR).

fot. You Tube – Przemekkk