El Servicio de Supercomputación del Reino Unido ARCHER sigue sin conexión …


El incidente se generate en medio de advertencias de los EE. UU. Sobre los cibergrupos chinos que atacan a organizaciones involucradas en la investigación relacionada con COVID-19.

Los administradores de seguridad y TI de ARCHER, el servicio nacional de supercomputación del Reino Unido, todavía están trabajando en la restauración de los servicios más de cuatro días después de que los ciberatacantes lo desconectaran.

El incidente del lunes por la tarde se produjo en medio de acusaciones estadounidenses de agentes que se cree que están trabajando en nombre del gobierno chino atacando sistemas y redes pertenecientes a organizaciones académicas, farmacéuticas y de atención médica involucradas en la investigación de COVID-19.

A principios de este mes, el Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido emitió una advertencia very similar sobre los grupos de amenazas persistentes avanzados que apuntan a los esfuerzos de investigación relacionados con COVID-19, pero no llegó a nombrar a China como la parte detrás de los ataques.

Una declaración en el sitio internet de ARCHER señaló el viernes que los empleados están trabajando para diagnosticar el ataque y comprender su alcance completo. Todas las contraseñas existentes de ARCHER y las claves SSH para la autenticación segura se están cambiando y ya no son válidas, según el comunicado.

Cuando el servicio finalmente se reanude, todos los usuarios deberán usar la autenticación de dos factores, compuesta por una contraseña y una clave SSH con frase de contraseña, para acceder a ella.

«Es imperativo que no reutilice una contraseña o clave SSH utilizada anteriormente con una frase de contraseña», dijo ARCHER.

ARCHER proporciona servicios de supercomputación a investigadores académicos y usuarios industriales que necesitan realizar grandes cálculos y simulaciones, como los involucrados en el modelado del brote de COVID-19. Los servicios de ARCHER están disponibles para investigadores en el Reino Unido y otros países. Su hardware principal comprende un supercomputador Cray XC30 masivamente paralelo con 111,080 núcleos de procesamiento Intel Ivy Bridge. El servicio Archer unique se lanzó el 13 de noviembre y actualmente está siendo transferido a una nueva supercomputadora Cray de 28 petaflops con 748,544 núcleos AMD.

ARQUERO primero revelado la intrusión el lunes 11 de mayo. Describió el incidente como una explotación en los nodos de inicio de sesión de ARCHER y desconectó el servicio. Ha estado investigando el incidente desde entonces. El miércoles, ARCHER dijo que la intrusión en sus sistemas parece haber sido parte de una campaña más amplia que había impactado los sistemas en toda la comunidad académica en el Reino Unido y en toda Europa. El centro de supercomputación está programado para proporcionar su próxima actualización sobre la situación el lunes.

Chris Morales, jefe de análisis de seguridad de Vectra, dice que el tiempo de inactividad relativamente extendido en ARCHER es probablemente de naturaleza precautoria y está relacionado con la necesidad de volver a emitir claves y contraseñas a todos los investigadores.

«Invalidar todas las sesiones remotas y volver a emitir claves y contraseñas en un terminal remoto es el equivalente a realizar un reinicio en una Personal computer regional», dice.

Ataques dirigidos a la investigación COVID-19
Por el momento no hay evidencia pública de que la intrusión haya sido dirigida por naturaleza. Pero es probable que esté vinculado a la focalización más amplia de la investigación biomédica y farmacéutica relacionada con una cura para COVID-19, dice Morales.

«La cura para COVID podría ser la cosa más valiosa del mundo en este momento», dice. «Y, desafortunadamente, donde hay valor, hay crimen».

en un anuncio de servicio publico Esta semana, el FBI y la Agencia de Seguridad de la Ciberseguridad e Infraestructura (CISA) dijeron que estaban investigando informes de compromiso cibernético y ataques contra organizaciones estadounidenses que realizan investigaciones sobre COVID-19. Describieron los ataques como la participación de actores cibernéticos y «recolectores no tradicionales» que trabajan en nombre de la República Preferred de China.

El FBI y la CISA advirtieron a las organizaciones involucradas en la investigación relacionada con COVID-19 que estén atentas a los ataques cibernéticos dirigidos y les instaron a reparar las vulnerabilidades críticas en los sistemas y software package de Online. También instaron a las organizaciones a escanear aplicaciones net en busca de acceso no autorizado y signos de actividad anómala y que requieran autenticación multifactor para el acceso.

Terence Jackson, CISO de Thycotic, dice que ARCHER no parecía usar una autenticación fuerte antes del incidente. Es más importante que nunca que las empresas apliquen la autenticación multifactorial e implementen otras medidas para prevenir el abuso de credenciales, dice.

«Los atacantes se han duplicado durante la pandemia de Covid-19, y debemos cerrar brechas fáciles», dice Jackson.

Contenido relacionado:

Aprenda de los expertos de la industria en un entorno propicio para la interacción y la conversación sobre cómo prepararse para eso «realmente mal día «en ciberseguridad. Haga clic para más información y para registrarse.

Jai Vijayan es un experimentado reportero de tecnología con más de 20 años de experiencia en periodismo comercial de TI. Recientemente fue editor sénior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Lectura recomendada:

Más strategies





Enlace a la noticia initial