- Joined
- Jun 1, 2014
- Messages
- 284
- Reaction score
- 263
- Points
- 63
European supercomputers hacked and forced to mine cryptocurrency
Supercomputers across Europe were attacked: heavy duty machines forced secretly to mine cryptocurrency. Reports of such incidents came from the UK, Germany and Switzerland, and, according to unconfirmed reports, a high-performance computer center in Spain suffered from a similar attack.
First attack message arrived last week from the University of Edinburgh, which houses the ARCHER supercomputer. As we already wrote, the administration was forced to suspend the work of ARCHER, as well as reset SSH passwords to prevent further attacks.
Then the German organization BwHPC, which coordinates research projects on supercomputers in Germany, also announced that five of its high-performance computing clusters will be temporarily unavailable due to similar problems. Disabled:
Last Thursday, hacking messages continued to arrive. So oh hacking said representatives The Leibniz Computing Center, operating under the patronage of the Bavarian Academy of Sciences. Due to the attack, the computing cluster was disconnected there.
On the same day, the Julich Research Center, in Germany, also reported compromise. Officials said they had to close access to supercomputers JURECA, JUDAC and JUWELS.
Technical University Dresden on this day announced that is forced to suspend the operation of its supercomputer Taurus.
Last weekend, the Swiss Center for Scientific Computing (CSCS) in Zurich also was forced close external access to its supercomputer infrastructure due to an attack.
Interestingly, none of the above organizations published almost any details of what happened. Only now has the situation begun to clear up: experts from CSIRT (a European organization that coordinates research on supercomputers throughout Europe) released samples of malvari and indicators of compromise for some of the incidents.
Also last weekend, German expert Robert Helling published an analysis of malvari, that infected a high-performance computing cluster at the physics department of the Ludwig-Maximilian University in Munich.
The malware samples released by experts have already been analyzed Cado Security analysts. The company writes that the attackers seem to have gained access to supercomputer clusters through compromised SSH credentials (as previously confirmed by the ARCHER administration).
Apparently, the credentials were stolen from university staff, who were given access to supercomputers to perform the calculations. The “stolen” SSH data belonged to universities in Canada, China and Poland.
Although there is no conclusive evidence that all attacks were carried out by the same hacker group, similar malvari file names and network indicators indicate that the same people could be behind all the incidents.
Cado Security researchers believe that after gaining access to the supercomputer node, hackers used an exploit for vulnerability CVE-2019-15666 , which allowed them to provide themselves with root access and deploy the Monero cryptocurrency miner (XMR) on the infected supercomputer.
However, it is worth noting one more interesting fact that we already paid attention to last week: many organizations whose supercomputers were attacked previously announced that they give priority to research related to COVID-19. In the end, there is a theory that hackers wanted to steal the results of these studies or simply sabotage them.
Source
Supercomputers across Europe were attacked: heavy duty machines forced secretly to mine cryptocurrency. Reports of such incidents came from the UK, Germany and Switzerland, and, according to unconfirmed reports, a high-performance computer center in Spain suffered from a similar attack.
First attack message arrived last week from the University of Edinburgh, which houses the ARCHER supercomputer. As we already wrote, the administration was forced to suspend the work of ARCHER, as well as reset SSH passwords to prevent further attacks.
Then the German organization BwHPC, which coordinates research projects on supercomputers in Germany, also announced that five of its high-performance computing clusters will be temporarily unavailable due to similar problems. Disabled:
- Hawk supercomputer installed at the University of Stuttgart at the High-Performance Computing Center Stuttgart;
- bwUniCluster 2.0 and ForHLR II clusters at the Karlsruhe Institute of Technology;
- bwForCluster JUSTUS supercomputer, hosted by the University of Ulm and used by chemists and quantum computer scientists;
- bwForCluster BinAC supercomputer installed at the University of Tübingen and used by bioinformatics.
Last Thursday, hacking messages continued to arrive. So oh hacking said representatives The Leibniz Computing Center, operating under the patronage of the Bavarian Academy of Sciences. Due to the attack, the computing cluster was disconnected there.
On the same day, the Julich Research Center, in Germany, also reported compromise. Officials said they had to close access to supercomputers JURECA, JUDAC and JUWELS.
Technical University Dresden on this day announced that is forced to suspend the operation of its supercomputer Taurus.
Last weekend, the Swiss Center for Scientific Computing (CSCS) in Zurich also was forced close external access to its supercomputer infrastructure due to an attack.
Interestingly, none of the above organizations published almost any details of what happened. Only now has the situation begun to clear up: experts from CSIRT (a European organization that coordinates research on supercomputers throughout Europe) released samples of malvari and indicators of compromise for some of the incidents.
Also last weekend, German expert Robert Helling published an analysis of malvari, that infected a high-performance computing cluster at the physics department of the Ludwig-Maximilian University in Munich.
The malware samples released by experts have already been analyzed Cado Security analysts. The company writes that the attackers seem to have gained access to supercomputer clusters through compromised SSH credentials (as previously confirmed by the ARCHER administration).
Apparently, the credentials were stolen from university staff, who were given access to supercomputers to perform the calculations. The “stolen” SSH data belonged to universities in Canada, China and Poland.
Although there is no conclusive evidence that all attacks were carried out by the same hacker group, similar malvari file names and network indicators indicate that the same people could be behind all the incidents.
Cado Security researchers believe that after gaining access to the supercomputer node, hackers used an exploit for vulnerability CVE-2019-15666 , which allowed them to provide themselves with root access and deploy the Monero cryptocurrency miner (XMR) on the infected supercomputer.
However, it is worth noting one more interesting fact that we already paid attention to last week: many organizations whose supercomputers were attacked previously announced that they give priority to research related to COVID-19. In the end, there is a theory that hackers wanted to steal the results of these studies or simply sabotage them.
Source
Original message
Европейские суперкомпьютеры взломали и заставили майнить криптовалюту
Суперкомпьютеры по всей Европе подверглись атакам: сверхмощные машины заставили тайно майнить криптовалюту. Сообщения о таких инцидентах поступили из Великобритании, Германии и Швейцарии, а также, по неподтвержденным данным, от похожей атаки пострадал высокопроизводительный вычислительный центр в Испании.
Первое сообщение об атаке поступило на прошлой неделе из Эдинбургского университета, где размещается суперкомпьютер ARCHER. Как мы уже писали, администрация была вынуждена приостановить работу ARCHER, а также сбросить SSH-пароли для предотвращения дальнейших атак.
Затем немецкая организация BwHPC, которая координирует исследовательские проекты на суперкомпьютерах в Германии, тоже объявила о том, что пять из ее высокопроизводительных вычислительных кластеров будут временно недоступны из-за аналогичных проблем. Отключению подверглись:
В минувший четверг сообщения о взломах продолжили поступать. Так, о взломе заявили представители Вычислительного центра Лейбница (Leibniz Computing Center), работающего под патронажем Баварской академии наук. Из-за атаки там был отключен вычислительный кластер.
В тот же день о компрометации сообщил и Юлихский исследовательский центр, в Германии. Официальные лица заявили, что им пришлось закрыть доступ к суперкомпьютерам JURECA, JUDAC и JUWELS.
Технический университет в Дрездене в этот день объявил, что вынужден приостановить работу своего суперкомпьютера Taurus.
В прошлые выходные Швейцарский центр научных вычислений (CSCS) в Цюрихе тоже был вынужден закрыть внешний доступ к своей суперкомпьютерной инфраструктуре из-за произошедшей атаки.
Интересно, что ни одна из вышеперечисленных организаций не опубликовала практически никаких подробностей случившегося. Лишь теперь ситуация начала проясняться: эксперты CSIRT (европейской организации, которая координирует исследования суперкомпьютеров по всей Европе) обнародовали образцы малвари и индикаторы компрометации по некоторым из инцидентов.
Также в прошедшие выходные немецкий эксперт Роберт Хеллинг опубликовал анализ малвари, заразившей высокопроизводительный вычислительный кластер на физическом факультете Университета Людвига-Максимилиана в Мюнхене.
Обнародованные специалистами образцы вредоносных программ уже были проанализированы аналитиками компании Cado Security. Компания пишет, что злоумышленники, похоже, получили доступ к суперкомпьютерным кластерам через скомпрометированные учетные данные SSH (что ранее косвенно подтверждала администрация ARCHER).
Судя по всему, учетные данные были похищены у персонала университетов, которому доступ к суперкомпьютерам был предоставлен для выполнения вычислений. «Угнанные» SSH-данные принадлежали университетам в Канаде, Китае и Польше.
Хотя пока нет неопровержимых доказательств того, что все атаки были осуществлены одной и той же хакерской группой, схожие имена файлов малвари и сетевые индикаторы указывают на то, что за всеми инцидентами могли стоять одни и те же люди.
Исследователи Cado Security полагают, что получив доступ к ноду суперкомпьютера, хакеры использовали эксплоит для уязвимости CVE-2019-15666, что позволяло им обеспечить себе root-доступ и развернуть на зараженном суперкомпьютере майнер криптовалюты Monero (XMR).
Однако стоит отметить и еще один интересный факт, на который мы уже обращали внимание на прошлой неделе: многие организации, чьи суперкомпьютеры были атакованы, ранее объявляли о том, что отдают приоритет исследованиям, касающимся COVID-19. В итоге существует теория, что хакеры хотели похитить результаты этих исследований или попросту их саботировать.
Источник
Суперкомпьютеры по всей Европе подверглись атакам: сверхмощные машины заставили тайно майнить криптовалюту. Сообщения о таких инцидентах поступили из Великобритании, Германии и Швейцарии, а также, по неподтвержденным данным, от похожей атаки пострадал высокопроизводительный вычислительный центр в Испании.
Первое сообщение об атаке поступило на прошлой неделе из Эдинбургского университета, где размещается суперкомпьютер ARCHER. Как мы уже писали, администрация была вынуждена приостановить работу ARCHER, а также сбросить SSH-пароли для предотвращения дальнейших атак.
Затем немецкая организация BwHPC, которая координирует исследовательские проекты на суперкомпьютерах в Германии, тоже объявила о том, что пять из ее высокопроизводительных вычислительных кластеров будут временно недоступны из-за аналогичных проблем. Отключению подверглись:
- суперкомпьютер Hawk, установленный в Университете Штутгарта, в центре High-Performance Computing Center Stuttgart;
- кластеры bwUniCluster 2.0 и ForHLR II в Технологическом институте Карлсруэ;
- суперкомпьютер bwForCluster JUSTUS, размещенный в Ульмском университете и использующийся химиками и квантовыми информатиками;
- суперкомпьютер bwForCluster BinAC, установленный в Тюбингенском университете и применяющийся биоинформатиками.
В минувший четверг сообщения о взломах продолжили поступать. Так, о взломе заявили представители Вычислительного центра Лейбница (Leibniz Computing Center), работающего под патронажем Баварской академии наук. Из-за атаки там был отключен вычислительный кластер.
В тот же день о компрометации сообщил и Юлихский исследовательский центр, в Германии. Официальные лица заявили, что им пришлось закрыть доступ к суперкомпьютерам JURECA, JUDAC и JUWELS.
Технический университет в Дрездене в этот день объявил, что вынужден приостановить работу своего суперкомпьютера Taurus.
В прошлые выходные Швейцарский центр научных вычислений (CSCS) в Цюрихе тоже был вынужден закрыть внешний доступ к своей суперкомпьютерной инфраструктуре из-за произошедшей атаки.
Интересно, что ни одна из вышеперечисленных организаций не опубликовала практически никаких подробностей случившегося. Лишь теперь ситуация начала проясняться: эксперты CSIRT (европейской организации, которая координирует исследования суперкомпьютеров по всей Европе) обнародовали образцы малвари и индикаторы компрометации по некоторым из инцидентов.
Также в прошедшие выходные немецкий эксперт Роберт Хеллинг опубликовал анализ малвари, заразившей высокопроизводительный вычислительный кластер на физическом факультете Университета Людвига-Максимилиана в Мюнхене.
Обнародованные специалистами образцы вредоносных программ уже были проанализированы аналитиками компании Cado Security. Компания пишет, что злоумышленники, похоже, получили доступ к суперкомпьютерным кластерам через скомпрометированные учетные данные SSH (что ранее косвенно подтверждала администрация ARCHER).
Судя по всему, учетные данные были похищены у персонала университетов, которому доступ к суперкомпьютерам был предоставлен для выполнения вычислений. «Угнанные» SSH-данные принадлежали университетам в Канаде, Китае и Польше.
Хотя пока нет неопровержимых доказательств того, что все атаки были осуществлены одной и той же хакерской группой, схожие имена файлов малвари и сетевые индикаторы указывают на то, что за всеми инцидентами могли стоять одни и те же люди.
Исследователи Cado Security полагают, что получив доступ к ноду суперкомпьютера, хакеры использовали эксплоит для уязвимости CVE-2019-15666, что позволяло им обеспечить себе root-доступ и развернуть на зараженном суперкомпьютере майнер криптовалюты Monero (XMR).
Однако стоит отметить и еще один интересный факт, на который мы уже обращали внимание на прошлой неделе: многие организации, чьи суперкомпьютеры были атакованы, ранее объявляли о том, что отдают приоритет исследованиям, касающимся COVID-19. В итоге существует теория, что хакеры хотели похитить результаты этих исследований или попросту их саботировать.
Источник