Суперкомпьютеры по всей Европе подверглись атакам: сверхмощные машины заставили тайно майнить криптовалюту. Сообщения о таких инцидентах поступили из Великобритании, Германии и Швейцарии, а также, по неподтвержденным данным, от похожей атаки пострадал высокопроизводительный вычислительный центр в Испании.

Первое сообщение об атаке поступило на прошлой неделе из Эдинбургского университета, где размещается суперкомпьютер ARCHER. Как мы уже писали, администрация была вынуждена приостановить работу ARCHER, а также сбросить SSH-пароли для предотвращения дальнейших атак.

Затем немецкая организация BwHPC, которая координирует исследовательские проекты на суперкомпьютерах в Германии, тоже объявила о том, что пять из ее высокопроизводительных вычислительных кластеров будут временно недоступны из-за аналогичных проблем. Отключению подверглись:

  • суперкомпьютер Hawk, установленный в Университете Штутгарта, в центре High-Performance Computing Center Stuttgart;
  • кластеры bwUniCluster 2.0 и ForHLR II в Технологическом институте Карлсруэ;
  • суперкомпьютер bwForCluster JUSTUS, размещенный в Ульмском университете и использующийся химиками и квантовыми информатиками;
  • суперкомпьютер bwForCluster BinAC, установленный в Тюбингенском университете и применяющийся биоинформатиками.

После этого ИБ-исследователь Феликс фон Лейтнер сообщил в своем блоге, что на суперкомпьютер, расположенный в Испании, тоже была совершена атака, в результате тот временно не работает.

В минувший четверг сообщения о взломах продолжили поступать. Так, о взломе заявили представители Вычислительного центра Лейбница (Leibniz Computing Center), работающего под патронажем Баварской академии наук. Из-за атаки там был отключен вычислительный кластер.

В тот же день о компрометации сообщил и Юлихский исследовательский центр, в Германии. Официальные лица заявили, что им пришлось закрыть доступ к суперкомпьютерам JURECA, JUDAC и JUWELS.

Технический университет в Дрездене в этот день объявил, что вынужден приостановить работу своего суперкомпьютера Taurus.

В прошлые выходные Швейцарский центр научных вычислений (CSCS) в Цюрихе тоже был вынужден закрыть внешний доступ к своей суперкомпьютерной инфраструктуре из-за произошедшей атаки.

Интересно, что ни одна из вышеперечисленных организаций не опубликовала практически никаких подробностей случившегося. Лишь теперь ситуация начала проясняться: эксперты CSIRT (европейской организации, которая координирует исследования суперкомпьютеров по всей Европе) обнародовали образцы малвари и индикаторы компрометации по некоторым из инцидентов.

Также в прошедшие выходные немецкий эксперт Роберт Хеллинг опубликовал анализ малвари, заразившей высокопроизводительный вычислительный кластер на физическом факультете Университета Людвига-Максимилиана в Мюнхене.

Обнародованные специалистами образцы вредоносных программ уже были проанализированы аналитиками компании Cado Security. Компания пишет, что злоумышленники, похоже, получили доступ к суперкомпьютерным кластерам через скомпрометированные учетные данные SSH (что ранее косвенно подтверждала администрация ARCHER).

Судя по всему, учетные данные были похищены у персонала университетов, которому  доступ к суперкомпьютерам был предоставлен для выполнения вычислений. «Угнанные» SSH-данные принадлежали университетам в Канаде, Китае и Польше.

Хотя пока нет неопровержимых доказательств того, что все атаки были осуществлены одной и той же хакерской группой, схожие имена файлов малвари и сетевые индикаторы указывают на то, что за всеми инцидентами могли стоять одни и те же люди.

Исследователи Cado Security полагают, что получив доступ к ноду суперкомпьютера, хакеры использовали эксплоит для уязвимости CVE-2019-15666, что позволяло им обеспечить себе root-доступ и развернуть на зараженном суперкомпьютере майнер криптовалюты Monero (XMR).

Однако стоит отметить и еще один интересный факт, на который мы уже обращали внимание на прошлой неделе: многие организации, чьи суперкомпьютеры были атакованы, ранее объявляли о том, что отдают приоритет исследованиям, касающимся COVID-19. В итоге существует теория, что хакеры хотели похитить результаты этих исследований или попросту их саботировать.

1 комментарий

  1. Аватар

    medusa_01

    25.05.2020 в 14:25

    ***
    хакеры хотели похитить результаты этих исследований или попросту их саботировать
    ***

    Нельзя саботировать то, что саботирует себя само.

Оставить мнение