Supercomputadoras pirateadas en toda Europa para extraer criptomonedas


meet-europes-new-supercomputer-marenostr-5d0229e6fe727300c4d980d6-1-jun-16-2019-14-08-02-poster.jpg

Esta semana, varias supercomputadoras de toda Europa se infectaron con malware de minería de criptomonedas y se cerraron para investigar las intrusiones.

Se han informado incidentes de seguridad en el Reino Unido, Alemania y Suiza, mientras que se rumorea que también ocurrió una intrusión related en un centro de cómputo de alto rendimiento ubicado en España.

El primer informe de un ataque salió a la luz el lunes de la Universidad de Edimburgo, que dirige la supercomputadora ARCHER. La organización informó «explotación de seguridad en los nodos de inicio de sesión de ARCHER, «apaga el sistema ARCHER para investigar y restablece las contraseñas SSH para evitar más intrusiones.

El bwHPC, la organización que coordina proyectos de investigación a través de supercomputadoras en el estado de Baden-Württemberg, Alemania, también anunciado el lunes que cinco de sus clústeres informáticos de alto rendimiento tuvieron que cerrarse debido a «incidentes de seguridad» similares. Esto incluyó:

  • los Supercomputadora Hawk en el Centro de Computación de Alto Rendimiento de Stuttgart (HLRS) en la Universidad de Stuttgart
  • Los grupos bwUniCluster 2. y ForHLR II en el Instituto de Tecnología de Karlsruhe (Package)
  • La supercomputadora bwForCluster JUSTUS de química y ciencia cuántica en la Universidad de Ulm
  • La supercomputadora de bioinformática bwForCluster BinAC en la Universidad de Tübingen

Los informes continuaron el miércoles cuando el investigador de seguridad Felix von Leitner reclamado en una publicación de blog site que una supercomputadora alojada en Barcelona, ​​España, también se vio afectada por un problema de seguridad y como resultado se cerró.

Más incidentes surgieron al día siguiente, el jueves. El primero vino del Leibniz Computing Centre (LRZ), un instituto de la Academia de Ciencias de Baviera, que dijo que era desconectó un clúster informático de world wide web después de una violación de seguridad.

El anuncio de LRZ fue seguido más tarde en el día por otro del Centro de Investigación Julich en la ciudad de Julich, Alemania. Las autoridades dijeron que tenían que apague las supercomputadoras JURECA, JUDAC y JUWELS después de un «incidente de seguridad de TI».

Nuevas violaciones también salieron a la luz hoy, el sábado. El científico alemán Robert Helling publicó un análisis sobre el malware que infectó un clúster informático de alto rendimiento en la Facultad de Física de la Universidad Ludwig-Maximilians en Munich, Alemania.

El Centro Suizo de Computación Científica (CSCS) en Zurich, Suiza también cerrar el acceso externo a su infraestructura de supercomputadora después de un «incidente cibernético» y «hasta que haya restaurado un entorno seguro».

Los atacantes obtuvieron acceso a través de inicios de sesión SSH de compromiso

Ninguna de las organizaciones anteriores publicó ningún detalle sobre las intrusiones. Sin embargo, más temprano hoy, el Equipo de Respuesta a Incidentes de Seguridad Informática (CSIRT) para la Infraestructura de Crimson Europea (EGI), una organización paneuropea que coordina la investigación sobre supercomputadoras en Europa, ha muestras de malware lanzadas e indicadores de compromiso de purple de algunos de estos incidentes.

Las muestras de malware fueron revisado hoy por Cado Protection, una empresa de ciberseguridad con sede en los Estados Unidos. La compañía dijo que los atacantes parecen haber obtenido acceso a los grupos de supercomputadoras a través de credenciales SSH comprometidas.

Las credenciales parecen haber sido robadas de los miembros de la universidad a quienes se les dio acceso a las supercomputadoras para ejecutar trabajos informáticos. Los inicios de sesión secuestrados de SSH pertenecían a universidades de Canadá, China y Polonia.

Chris Doman, cofundador de Cado Safety, dijo ZDNet hoy, si bien no existe evidencia oficial para confirmar que todas las intrusiones han sido realizadas por el mismo grupo, evidencia como nombres de archivos de malware e indicadores de crimson similares sugieren que este podría ser el mismo actor de amenaza.

Según el análisis de Doman, una vez que los atacantes obtuvieron acceso a un nodo de supercomputación, parecen haber utilizado un exploit para CVE-2019-15666 vulnerabilidad para obtener acceso a la raíz y luego implementó una aplicación que extrajo la criptomoneda Monero (XMR).

Para empeorar las cosas, muchas de las organizaciones que tenían supercomputadoras esta semana habían anunciado que estaban priorizando la investigación sobre el brote de COVID-19, que ahora probablemente se ha visto obstaculizado como resultado de la intrusión y el tiempo de inactividad posterior.

No es el primer incidente de este tipo

Estos incidentes no son la primera vez que se instala un malware de cripto-minería en una supercomputadora. Sin embargo, esta es la primera vez que los hackers hacen esto. En incidentes anteriores, generalmente era un empleado quien instalaba el minero de criptomonedas, para su propio beneficio personal.

Por ejemplo, en febrero de 2018, las autoridades rusas arrestaron a ingenieros del Centro Nuclear Ruso por usar la supercomputadora de la agencia para extraer criptomonedas.

Un mes después, los funcionarios australianos comenzaron una investigación sobre un caso comparable en la Oficina de Meteorología, donde los empleados utilizaron la supercomputadora de la agencia para extraer criptomonedas.



Enlace a la noticia unique