Суперкомпьютеры по всей Европе подверглись атакам: сверхмощные машины заставили тайно майнить криптовалюту. Сообщения о таких инцидентах поступили из Великобритании, Германии и Швейцарии, а также, по неподтвержденным данным, от похожей атаки пострадал высокопроизводительный вычислительный центр в Испании.
Первое сообщение об атаке поступило на прошлой неделе из Эдинбургского университета, где размещается суперкомпьютер ARCHER. Как мы уже писали, администрация была вынуждена приостановить работу ARCHER, а также сбросить SSH-пароли для предотвращения дальнейших атак.
Затем немецкая организация BwHPC, которая координирует исследовательские проекты на суперкомпьютерах в Германии, тоже объявила о том, что пять из ее высокопроизводительных вычислительных кластеров будут временно недоступны из-за аналогичных проблем. Отключению подверглись:
- суперкомпьютер Hawk, установленный в Университете Штутгарта, в центре High-Performance Computing Center Stuttgart;
- кластеры bwUniCluster 2.0 и ForHLR II в Технологическом институте Карлсруэ;
- суперкомпьютер bwForCluster JUSTUS, размещенный в Ульмском университете и использующийся химиками и квантовыми информатиками;
- суперкомпьютер bwForCluster BinAC, установленный в Тюбингенском университете и применяющийся биоинформатиками.
После этого ИБ-исследователь Феликс фон Лейтнер сообщил в своем блоге, что на суперкомпьютер, расположенный в Испании, тоже была совершена атака, в результате тот временно не работает.
В минувший четверг сообщения о взломах продолжили поступать. Так, о взломе заявили представители Вычислительного центра Лейбница (Leibniz Computing Center), работающего под патронажем Баварской академии наук. Из-за атаки там был отключен вычислительный кластер.
В тот же день о компрометации сообщил и Юлихский исследовательский центр, в Германии. Официальные лица заявили, что им пришлось закрыть доступ к суперкомпьютерам JURECA, JUDAC и JUWELS.
Технический университет в Дрездене в этот день объявил, что вынужден приостановить работу своего суперкомпьютера Taurus.
В прошлые выходные Швейцарский центр научных вычислений (CSCS) в Цюрихе тоже был вынужден закрыть внешний доступ к своей суперкомпьютерной инфраструктуре из-за произошедшей атаки.
Интересно, что ни одна из вышеперечисленных организаций не опубликовала практически никаких подробностей случившегося. Лишь теперь ситуация начала проясняться: эксперты CSIRT (европейской организации, которая координирует исследования суперкомпьютеров по всей Европе) обнародовали образцы малвари и индикаторы компрометации по некоторым из инцидентов.
Также в прошедшие выходные немецкий эксперт Роберт Хеллинг опубликовал анализ малвари, заразившей высокопроизводительный вычислительный кластер на физическом факультете Университета Людвига-Максимилиана в Мюнхене.
Обнародованные специалистами образцы вредоносных программ уже были проанализированы аналитиками компании Cado Security. Компания пишет, что злоумышленники, похоже, получили доступ к суперкомпьютерным кластерам через скомпрометированные учетные данные SSH (что ранее косвенно подтверждала администрация ARCHER).
Судя по всему, учетные данные были похищены у персонала университетов, которому доступ к суперкомпьютерам был предоставлен для выполнения вычислений. «Угнанные» SSH-данные принадлежали университетам в Канаде, Китае и Польше.
Хотя пока нет неопровержимых доказательств того, что все атаки были осуществлены одной и той же хакерской группой, схожие имена файлов малвари и сетевые индикаторы указывают на то, что за всеми инцидентами могли стоять одни и те же люди.
Исследователи Cado Security полагают, что получив доступ к ноду суперкомпьютера, хакеры использовали эксплоит для уязвимости CVE-2019-15666, что позволяло им обеспечить себе root-доступ и развернуть на зараженном суперкомпьютере майнер криптовалюты Monero (XMR).
Однако стоит отметить и еще один интересный факт, на который мы уже обращали внимание на прошлой неделе: многие организации, чьи суперкомпьютеры были атакованы, ранее объявляли о том, что отдают приоритет исследованиям, касающимся COVID-19. В итоге существует теория, что хакеры хотели похитить результаты этих исследований или попросту их саботировать.