На прошлой неделе системы безопасности суперкомпьютеров во многих учреждениях в Европе зарегистрировали попытки атак. Об инцидентах сообщили университеты и вычислительные центры в Великобритании, Германии и Швейцарии, кроме того, по слухам, также был атакован вычислительный центр в Испании.
Злоумышленники заразили суперкомпьютеры вредоносным ПО для майнинга криптовалют. В результате работу кластеров пришлось приостановить, чтобы специалисты по информационной безопасности могли расследовать происшествия.
Первое сообщение об атаке поступило в понедельник из Эдинбургского университета, в котором работает суперкомпьютер ARCHER. Университет сообщил о «нарушении безопасности на узлах входа в ARCHER», закрыл систему суперкомпьютера и сбросил данные SSH для предотвращения дальнейших вторжений. BwHPC, организация, которая организует исследовательские проекты на суперкомпьютерах в регионе Баден-Вюртемберг в Германии, также объявила в понедельник, что ей пришлось закрыть пять вычислительных кластеров из-за внедрения вредоносного ПО. Злоумышленники атаковали суперкомпьютер Hawk в Центре высокопроизводительных вычислений (HLRS) в Штутгартском университете; кластеры bwUniCluster 2.0 и ForHLR II в Технологическом институте Карлсруэ; суперкомпьютер bwForCluster JUSTUS в Ульмском университете; суперкомпьютер bwForCluster BinAC в Тюбингенском университете.
Сообщения об атаках продолжали поступать в среду. В этот день специалист по информационной безопасности Феликс фон Лейтнер заявил в своем блоге, что работу суперкомпьютера, расположенного в Барселоне, также пришлось приостановить.
Больше сообщений об инцидентах появилось на следующий день, в четверг. Первое поступило из Вычислительного центра Лейбница, учреждения, которое входит в состав Баварской академии наук. Позже в тот же день Юлихский исследовательский центр в Германии заявил об атаке. Руководители центра сообщили, что им пришлось закрыть суперкомпьютеры JURECA, JUDAC и JUWELS. Наконец, Дрезденский технический университет объявил о вынужденном прекращении работы суперкомпьютера Taurus.
После этого о новых инцидентах стало известно уже в субботу. Злоумышленники атаковали вычислительные системы Мюнхенского университета имени Людвига и Максимилиана. Швейцарский центр научных вычислений (CSCS) в Цюрихе также был вынужден закрыть доступ к инфраструктуре своего суперкомпьютера из-за произошедшей атаки.
«В настоящее время мы расследуем незаконный доступ к центру. Наши инженеры активно работают над тем, чтобы восстановить работу систем как можно скорее и свести к минимуму последстви для наших пользователей», — заявил директор CSCS Томас Шультесс.
В этот же день специалисты организации CSIRT, которая занимается исследованиями инцидентов в сфере информационной безопасности, опубликовали образцы вредоносных программ и индикаторы компрометации сети по некоторым из этих инцидентов. Кроме того, немецкий эксперт Роберт Хеллинг опубликовал анализ ПО, которое использовалось в ходе атаки на системы Мюнхенского университета имени Людвига-Максимилиана. Образцы программ рассмотрели эксперты американской компании Cado Security. Они пришли к выводу, что злоумышленники, по всей видимости, получили доступ к суперкомпьютерам через скомпрометированные учетные данные SSH. По словам специалистов, злоумышленники украли учётные данные у членов университета, у которых был доступ к суперкомпьютерам.
Крис Доман, соучредитель Cado Security, заявил в комментарии изданию ZDNet, что, хотя нет официальных доказательств, подтверждающих, что все вторжения осуществила одна группа злоумышленников, такие доказательства, как схожие имена файлов вредоносных программ и сетевые индикаторы, указывают на то, что за атаками стояли, вероятнее всего, одни и те же люди. В Cado Security считают, что злоумышленники использовали эксплоит для уязвимости CVE-2019-15666. Это позволило им получить root-доступ к системе и развернуть на суперкомпьютере приложение для майнинга криптовалюты Monero (XMR). Как пояснил в комментарии порталу BleepingComputer Тильман Вернер, специалист по информационной безопасности в компании CrowdStrike, один из компонентов вредоносного ПО получал root-доступ и загружал другие программы. Другой компонент использовался для удаления следов операций из данных журнала.
При этом многие организации, которым пришлось остановить работу суперкомпьютеров из-за атаки, сообщали ранее, что они занимаются исследованиями инфекции COVID-19. Из-за инцидентов исследования придётся прервать.
Эти атаки — не первый случай попытки установки ПО для майнинга криптовалюты на суперкомпьютеры. В частности, в феврале 2018 года трое сотрудников Российского федерального ядерного центра были задержаны за попытку использования вычислительных мощностей суперкомпьютера центра для майнинга криптовалюты. Суперкомпьютер мощностью один петафлопс (выполняет 1000 триллионов операций в секунду) работает в организации с 2011 года. Два задержанных сотрудника получили штрафы, третьему было назначено наказание в виде трех лет и трех месяцев лишения свободы.
В марте того же года началось расследование аналогичного случая в Бюро метеорологии Мельбурна, где сотрудники использовали суперкомпьютер организации для майнинга криптовалюты.
Andriyevski
Тут нечего комментировать!