Суперкомпьютеры в университетах Европы взломали, чтобы майнить криптовалюту

[Artifact]

На прошлой неделе системы безопасности суперкомпьютеров во многих учреждениях в Европе зарегистрировали попытки атак. Об инцидентах сообщили университеты и вычислительные центры в Великобритании, Германии и Швейцарии, кроме того, по слухам, также был атакован вычислительный центр в Испании.
Злоумышленники заразили суперкомпьютеры вредоносным ПО для майнинга криптовалют. В результате работу кластеров пришлось приостановить, чтобы специалисты по информационной безопасности могли расследовать происшествия.
Первое сообщение об атаке поступило в понедельник из Эдинбургского университета, в котором работает https://www.archer.ac.uk/status/. Университет сообщил о «нарушении безопасности на узлах входа в ARCHER», закрыл систему суперкомпьютера и сбросил данные SSH для предотвращения дальнейших вторжений. BwHPC, организация, которая организует исследовательские проекты на суперкомпьютерах в регионе Баден-Вюртемберг в Германии, также https://www.bwhpc.de/news.html, что ей пришлось закрыть пять вычислительных кластеров из-за внедрения вредоносного ПО. Злоумышленники атаковали https://websrv.hlrs.de/cgi-bin/hwwweather в Центре высокопроизводительных вычислений (HLRS) в Штутгартском университете; кластеры bwUniCluster 2.0 и ForHLR II в Технологическом институте Карлсруэ; суперкомпьютер bwForCluster JUSTUS в Ульмском университете; суперкомпьютер bwForCluster BinAC в Тюбингенском университете.
Сообщения об атаках продолжали поступать в среду. В этот день специалист по информационной безопасности Феликс фон Лейтнер https://blog.fefe.de/?ts=a04505b4, что работу суперкомпьютера, расположенного в Барселоне, также пришлось приостановить.
Больше сообщений об инцидентах появилось на следующий день, в четверг. Первое поступило из https://www.lrz.de/aktuell/ali00856.html, учреждения, которое входит в состав Баварской академии наук. Позже в тот же день Юлихский исследовательский центр в Германии заявил об атаке. Руководители центра сообщили, что им https://dispatch.fz-juelich.de:8812/HIGHMESSAGES Наконец, Дрезденский технический университет объявил о вынужденном прекращении работы https://betriebsstatus.zih.tu-dresde...et&news_id=828.
После этого о новых инцидентах стало известно уже в субботу. Злоумышленники атаковали вычислительные системы Мюнхенского университета имени Людвига и Максимилиана. Швейцарский центр научных вычислений (CSCS) в Цюрихе также https://www.cscs.ch/publications/new...yber-incident/ к инфраструктуре своего суперкомпьютера из-за произошедшей атаки.
«В настоящее время мы расследуем незаконный доступ к центру. Наши инженеры активно работают над тем, чтобы восстановить работу систем как можно скорее и свести к минимуму последстви для наших пользователей», — заявил директор CSCS Томас Шультесс.
В этот же день специалисты организации CSIRT, которая занимается исследованиями инцидентов в сфере информационной безопасности, https://csirt.egi.eu/academic-data-c...rrency-mining/ вредоносных программ и индикаторы компрометации сети по некоторым из этих инцидентов. Кроме того, немецкий эксперт Роберт Хеллинг https://atdotde.blogspot.com/2020/05...e-hackers.html, которое использовалось в ходе атаки на системы Мюнхенского университета имени Людвига-Максимилиана. Образцы программ https://www.cadosecurity.com/2020/05/16/1318/ американской компании Cado Security. Они пришли к выводу, что злоумышленники, по всей видимости, получили доступ к суперкомпьютерам через скомпрометированные учетные данные SSH. По словам специалистов, злоумышленники украли учётные данные у членов университета, у которых был доступ к суперкомпьютерам.
Крис Доман, соучредитель Cado Security, заявил https://www.zdnet.com/article/superc...tag=RSSbaffb68, что, хотя нет официальных доказательств, подтверждающих, что все вторжения осуществила одна группа злоумышленников, такие доказательства, как схожие имена файлов вредоносных программ и сетевые индикаторы, указывают на то, что за атаками стояли, вероятнее всего, одни и те же люди. В Cado Security считают, что злоумышленники использовали эксплоит для уязвимости CVE-2019-15666. Это позволило им получить root-доступ к системе и развернуть на суперкомпьютере приложение для майнинга криптовалюты Monero (XMR). Как пояснил https://www.bleepingcomputer.com/new...-cyberattacks/Тильман Вернер, специалист по информационной безопасности в компании CrowdStrike, один из компонентов вредоносного ПО получал root-доступ и загружал другие программы. Другой компонент использовался для удаления следов операций из данных журнала.
При этом многие организации, которым пришлось остановить работу суперкомпьютеров из-за атаки, сообщали ранее, что они занимаются исследованиями инфекции COVID-19. Из-за инцидентов исследования придётся прервать.
Эти атаки — не первый случай попытки установки ПО для майнинга криптовалюты на суперкомпьютеры. В частности, в феврале 2018 года трое сотрудников Российского федерального ядерного центра https://www.kommersant.ru/doc/4140085 за попытку использования вычислительных мощностей суперкомпьютера центра для майнинга криптовалюты. Суперкомпьютер мощностью один петафлопс (выполняет 1000 триллионов операций в секунду) работает в организации с 2011 года. Два задержанных сотрудника получили штрафы, третьему было назначено наказание в виде трех лет и трех месяцев лишения свободы.
В марте того же года началось расследование https://www.zdnet.com/article/bureau...mining-report/ в Бюро метеорологии Мельбурна, где сотрудники использовали суперкомпьютер организации для майнинга криптовалюты.
@habra