Európske superpočítače zneužili na ťažbu kryptomeny

Útočníci získali prístup k zariadeniam pravdepodobne z Poľska a Číny.
Európske superpočítače zneužili na ťažbu kryptomeny

Neznámi hekeri infikovali niekoľko superpočítačov po celej Európe škodlivým kódom na ťažbu kryptomeny monero. Prípady potvrdili vo Veľkej Británií, Nemecku a Švajčiarsku. Zatiaľ nepotvrdený zostáva incident v Španielsku, informoval portál ZDnet.

Prvý útok sa odohral minulý týždeň v pondelok na Edinburskej univerzite v Škótsku. Univerzita oznámila, že na čas musela zablokovať prístup k jej superpočítaču ARCHER z dôvodu zneužitia „prihlasovacích uzlov“. Po obnove si budú musieť všetky účty nastaviť dvojitú autentifikáciu pomocou heslá a SSH kľúča s heslovou frázou (passphrase). Pôvodné prihlasovacie údaje totiž nebudú platné.

Krátko nato nahlásilo problémy aj superpočítačové centrum spoločnosti bwHPC v nemeckom Badénsku-Württembersku. Organizácia musela vypnúť päť z vysoko výkonných počítačových klastrov pre podobný bezpečnostný incident. Jedným z nich je pritom superpočítač Hawk z Vysokovýkonného výpočtového centra v Štuttgarte, ktoré patrí medzi najvýkonnejšie počítače na svete.

V priebehu týždňa sa objavili ďalšie prípady na mníchovskej Univerzite Ludwiga Maximiliana, Technickej univerzite v Drážďanoch, v Leinbitzovom počítačovom centre na Bavorskej akadémii vied a vo výskumnom centre Julich, kde museli vypnúť superpočítače JURECA, JUDAC a JUWELS.

Podľa bezpečnostného výskumníka Felixa von Leitnera ovplyvnil bezpečnostný incident aj superpočítač v Barcelone, pre ktorý ho museli odstaviť.

Cez víkend naopak oznámilo pozastavenie externého prístupu k svojim superpočítačom aj Švajčiarske centrum vedeckých výpočtov v Zürichu.

Vstupnou bránou Poľsko a Čína

Žiadna z vyššie spomenutých inštitúcií bližšie nepriblížila detaily útokov. CSIRT tím Európskej gridovej infraštruktúry, ktorá koordinuje výskum na superpočítačoch v celej Európe, spolu s americkou spoločnosťou Cado Security však o týchto prípadoch vydali správy bližšie popisujúce pozadie útokov.

Podľa zistení, útočníci pravdepodobne získali prístup cez kompromitované SSH údaje. Tie ukradli z Pedagogickej univerzity v Krakove a z Šanghajskej univerzity Jiaotong a Čínskej vedeckej a technologickej siete.

Chirs Doman, spoluzakladateľ spoločnosti Cado Security, pre ZDnet uviedol, že zatiaľ neexistujú žiadne oficiálne dôkazy, ktoré by potvrdzovali, že všetky narušenia pochádzajú od jednej skupiny. Dodal, že dôkazy ako podobné názvy súborov s malvérom a sieťové indikátory však môžu naznačovať rovnakého aktéra.

Podľa Domana útočníci využili zraniteľnosť CVE-2019-15666, aby získali práva na počítačoch a mohli na nich ťažiť kryptomenu monero. Zatiaľ nie je známe koľko vyťažili.

Motivácia útočníkov v tomto momente nie je úplne jasná. Môže ísť o aktérov, ktorým ide len o peniaze a spoliehajú sa na silu superpočítačov, ktoré dokážu ťažiť digitálne meny efektívnejšie ako bežné počítače.

Existujú ale aj obavy, že spomenuté incidenty môžu súvisieť s pokusom o ukradnutie alebo narušenie výskumov nákazy COVID-19. Odstavený ARCHER je totiž jeden zo superpočítačov, ktorý sa tomuto výskumu venuje.

(SK)