Сразу несколько суперкомпьютеров по всей Европе были заражены неизвестным вирусом, который использовал мощность машин для майнинга криптовалют. О взломе системы заявили практически одновременно в Германии, Великобритании, Швейцарии и Испании. Сейчас доступ к суперкомпьютерам закрыт, а специалисты выясняют, каким образом хакерам удалось заразить систему.
Более 10 суперкомпьютеров стали жертвами хакеров
Первое сообщение о взломе системы суперкомпьютера поступило еще в понедельник от сотрудников Эдинбургского университета. Они сообщили об «использовании безопасности на узлах входа в ARCHER». Из-за случившегося инцидента систему компьютера было решено закрыть.
Позже сообщения о несанкционированном входе в систему суперкомпьютеров поступили из Германии, штата Баден-Вюртемберг. Там из-за вторжения в работу компьютеров пришлось закрыть сразу пять кластеров, включая:
- Суперкомпьютер Hawk на High-Performance Computing Center Stuttgart (РИМ) в Университете Штутгарта
- Кластеры bwUniCluster 2.0 и ForHLR II в Технологическом институте Карлсруэ (KIT)
- Суперкомпьютер bwForCluster JUSTUS для химии и квантовой науки в Ульмском университете
- Суперкомпьютер биоинформатики bwForCluster BinAC в Тюбингенском университете
На этом хакеры не остановились. В среду исследователь безопасности Феликс фон Лейтнер заявил, что проблема безопасности обнаружилась также у суперкомпьютера, который расположен в Барселоне в Испании.
В последующие несколько дней заявления о взломе систем безопасности суперкомпьютеров поступили также из Баварской Академии Наук, Университета Людвига-Максимилиана в Мюнхене, Германия, Швейцарского центра научных вычислений (CSCS) в Цюрихе, Швейцария. В общей сложности более 10 суперкомпьютеров были остановлены до выяснения обстоятельств с нарушением системы безопасности.
Хакеры использовали SSH-логины
Пока ни одно из пострадавших учреждений не выступило в публичном пространстве с заявлением о том, как именно злоумышленникам удалось заразить компьютеры. Однако Группа реагирования на инциденты компьютерной безопасности (CSIRT) для европейской грид-инфраструктуры (EGI), которая координирует исследования суперкомпьютеров по всей Европе, выпустила образцы вредоносных программ и индикаторы компрометации сети по некоторым из этих инцидентов. После детального изучения эксперты пришли к мнению, что хакеры, скорее всего, скомпрометировали учетные данные SSH.
Вероятно, что учетные данные были украдены у членов университета, которым был предоставлен доступ к суперкомпьютерам для выполнения вычислительных заданий. Захваченные SSH логины принадлежали университетам в Канаде, Китае и Польше.
Крис Доман, соучредитель Cado Security, заявил, что, хотя нет официальных доказательств, подтверждающих, что все вторжения были осуществлены одной и той же группой, такие доказательства, как схожие имена файлов вредоносных программ и сетевые индикаторы, указывают на то, что это может быть одна группировка.
«Согласно проведенному анализу, злоумышленники получили доступ к узлу суперкомпьютера, а после чего использовали эксплойтд для уязвимости CVE-2019-15666 для получения корневого доступа, а затем развернули приложение, которое добывало криптовалюту (XMR)», – сообщается в заявлении.
Хуже того, многие организации, у которых на этой неделе вышли из строя суперкомпьютеры, объявили, что они отдают приоритет исследованиям вспышки COVID-19, которые в настоящее время, скорее всего, затруднены из-за вторжения и последующего простоя.