Первые официальные комментарии причин массового ограничения доступа к суперкомпьютерам, раскрыла CSIRT – паневропейский координатор центра реагирования на инциденты информационной безопасности.
Именно его сотрудники обнаружили аномальное повышение нагрузки на ЦП, выдавшее хакеров, установивших на сервера суперкомпьютеров программы для майнинга Monero. Первой жертвой злоумышленников стал ARHER – высокопроизводительная ЭВМ университета Эдинбурга.
Доступ к шотландскому суперкомпьютеру был закрыт в понедельник, все SSH-пароли пользователей сброшены, объявлен недействительным «белый лист» IP. В этот же день, чуть позже вычислительный центр BwHPC в Германии отключил исследовательские лаборатории университетов Штутгарта, Карлсруэ, Ульма и Тюбингена.
В среду хакеры взломали суперкомпьютеры Барселоны, в четверг злоумышленники продолжили атаки на территории Германии, заключительным аккордом стал взлом высокопроизводительного вычислительного центра Цюриха в Швейцарии.
Инцидент продолжает расследоваться, но группа CSIRT установила способ проникновения вредоносных программ. В руки хакеров попали логины и пароли учетных записей SSH ученых из Польши, Китая и США. После входа, злоумышленники получали доступ к корневому каталогу, через эксплойт для уязвимости CVE-2019-15666, позволяющей беспрепятственно «заливать» программы скрытого майнинга Monero.
Это первый в истории суперкомпьютеров, «внешний взлом», до этого момента инциденты со скрытым майнингом носили внутренний характер. Некоторые из научных сотрудников, пользуясь свободным доступом, сами устанавливали вредоносы.
