Суперкомп’ютери у Великобританії, Німеччині, Швейцарії та Іспанії зусиллями зловмисників змінили свою роботу. Їх зламали та змусили видобувати криптовалюту. Зараз ці машини відключили для проведення розслідування.
Перше повідомлення про злам суперкомп’ютера надійшло на початку минулого тижня з Університету Едінбурга, де встановлено суперкомп’ютер ARCHER. Адміністраторам довелося скинути паролі SSH для запобігання подальшого втручання.
Наступним постраждалим виявилися суперкомп’ютерні кластери організації bwHPC, яка координує дослідницькі проекти на суперкомп’ютерах у Німеччині. Зловмисникам вдалося проникнути у п’ять таких кластерів в університетах Штутгарта, Ульма, Карлсруе, Тюбінгена.
Повідомлення про проникнення сторонніх надійшло з іспанської Барселони. Швейцарський центр комп’ютерних обрахунків у Цюриху також вимкнув зовнішній доступ через проникнення сторонніх.
Наступними про втручання повідомили інститут при Академії наук Баварії та дослідницький центр у місті Юліх (Німеччина).
Зломи продовжилися і на вихідних – у суботу про інфікування суперкомп’ютерного кластера повідомив факультет фізики при мюнхенському Університеті Людвіга-Максиміліана.
Постраждалі організації не публікували деталі проникнення. Однак, за інформацією європейського підрозділу команди кіберреагування Computer Security Incident Response Team (CSIRT), доступ до суперкомп’ютерів отримали через SSH. Акаунт для входу викрали від працівників, які були авторизовані для роботи на цих суперкомп’ютерах. Ці акаунти належали університетам Канади, Китаю, Польщі.
Доказів, що всі втручання проводила одна команда, немає. Однак на це натякає схожість назв шкідливих файлів та дані мережевого трафіку.
За даними Кріса Домана, співзасновника компанії з кібербезпеки Cado Security, після отримання доступу до суперкомп’ютера зловмисники запускали експлоїт для використання діри CVE-2019-15666 та отримували рут-доступ. Після цього вони розгортали програму для видобування криптовалюти Monero (XMR).
Суперкомп’ютери не вперше заражають шкідливим програмним забезпеченням. Але до цього це були зазвичай самі працівники, які мали доступ. Віддалене інфікування зловмисниками суперкомп’ютерів є першим таким випадком.
