Os hackers conseguiram instalar malware de mineração de criptomoedas em vários supercomputadores em toda a Europa, que agora tiveram que desligar enquanto investigavam.
Incidentes de segurança em instalações que abrigam supercomputadores foram relatados no Reino Unido, Alemanha e Suíça, enquanto rumores semelhantes ocorreram em um centro de computação de alto desempenho localizado na Espanha.
A Universidade de Edimburgo, que administra o supercomputador ARCHER , sofreu o primeiro ataque e a organização relatou que havia desativado o acesso ao sistema e redefinido as senhas SSH devido a uma exploração de segurança nos nós de logon do ARCHER. No mesmo dia, a organização responsável pela coordenação de projetos de pesquisa em supercomputadores no estado alemão de Baden-Württemberg, a bwHPC anunciou que cinco de seus clusters de computação de alto desempenho foram desligados após incidentes de segurança semelhantes.
No final da semana, o Centro de Computação Leibniz da Academia de Ciências da Baviera (LRZ) anunciou que havia desconectado um cluster de computação da Internet após uma violação de segurança. Funcionários do Centro de Pesquisa Julich anunciaram que desligaram os supercomputadores JURECA, JUDAC e JUWELS após um incidente de segurança de TI. A Universidade Técnica de Dresden também anunciou que também deveria desligar o supercomputador Taurus.
Criptomoedas não são único problema
Embora nenhuma das organizações cujos supercomputadores tenham sido afetados por esses incidentes de segurança tenha publicado algum detalhe sobre eles, a Equipe de resposta a incidentes de segurança de computadores (CSIRT) da European Grid Infrastructure (EGI) lançou amostras de malware e indicadores de comprometimento de rede para alguns dos ataques. .
Depois de analisar essas amostras de malware, a empresa de segurança cibernética do Reino Unido, Cado Security, acredita que os invasores obtiveram acesso aos clusters de supercomputadores usando credenciais de SSH comprometidas. Essas credenciais parecem ter sido roubadas de funcionários de universidades do Canadá, China e Polônia, que tiveram acesso aos supercomputadores para executar trabalhos de computação exigentes e complexos.
O co-fundador da Cado Security, Chris Doman, disse ao ZDNet que nomes de arquivos de malware e indicadores de rede semelhantes sugerem que esses incidentes de segurança podem ter sido realizados pelo mesmo ator de ameaça. Com base em sua análise, o invasor aproveitou a vulnerabilidade CVE-2019-15666 no kernel do Linux para obter acesso root e, em seguida, implantou um aplicativo para explorar a cyrptocurrency Monero.
Ter que derrubar tantos supercomputadores de uma só vez devido a incidentes de segurança é sem precedentes e, infelizmente, muitos desses sistemas estavam sendo usados para pesquisar e estudar o Covid-19 na época.
Saiba mais sobre supercomputadores e criptomoedas em nosso setor especializado em segurança digital.