Европейские суперкомпьютеры взломали и заставили майнить криптовалюту

DronVR

Приватный уровень доступа
Регистрация
1 Июнь 2014
Сообщения
276
Репутация
247
Баллы
43
Европейские суперкомпьютеры взломали и заставили майнить криптовалюту

04f2632b0e57b8632cfb0.jpg

Суперкомпьютеры по всей Европе подверглись атакам: сверхмощные машины заставили тайно майнить криптовалюту. Сообщения о таких инцидентах поступили из Великобритании, Германии и Швейцарии, а также, по неподтвержденным данным, от похожей атаки пострадал высокопроизводительный вычислительный центр в Испании.

Первое сообщение об атаке поступило на прошлой неделе из Эдинбургского университета, где размещается суперкомпьютер ARCHER. Как мы уже писали, администрация была вынуждена приостановить работу ARCHER, а также сбросить SSH-пароли для предотвращения дальнейших атак.

Затем немецкая организация BwHPC, которая координирует исследовательские проекты на суперкомпьютерах в Германии, тоже объявила о том, что пять из ее высокопроизводительных вычислительных кластеров будут временно недоступны из-за аналогичных проблем. Отключению подверглись:

  • суперкомпьютер Hawk, установленный в Университете Штутгарта, в центре High-Performance Computing Center Stuttgart;​
  • кластеры bwUniCluster 2.0 и ForHLR II в Технологическом институте Карлсруэ;​
  • суперкомпьютер bwForCluster JUSTUS, размещенный в Ульмском университете и использующийся химиками и квантовыми информатиками;​
  • суперкомпьютер bwForCluster BinAC, установленный в Тюбингенском университете и применяющийся биоинформатиками.​
После этого ИБ-исследователь Феликс фон Лейтнер сообщил в своем блоге, что на суперкомпьютер, расположенный в Испании, тоже была совершена атака, в результате тот временно не работает.

В минувший четверг сообщения о взломах продолжили поступать. Так, о взломе заявили представители Вычислительного центра Лейбница (Leibniz Computing Center), работающего под патронажем Баварской академии наук. Из-за атаки там был отключен вычислительный кластер.

В тот же день о компрометации сообщил и Юлихский исследовательский центр, в Германии. Официальные лица заявили, что им пришлось закрыть доступ к суперкомпьютерам JURECA, JUDAC и JUWELS.

Технический университет в Дрездене в этот день объявил, что вынужден приостановить работу своего суперкомпьютера Taurus.

В прошлые выходные Швейцарский центр научных вычислений (CSCS) в Цюрихе тоже был вынужден закрыть внешний доступ к своей суперкомпьютерной инфраструктуре из-за произошедшей атаки.

Интересно, что ни одна из вышеперечисленных организаций не опубликовала практически никаких подробностей случившегося. Лишь теперь ситуация начала проясняться: эксперты CSIRT (европейской организации, которая координирует исследования суперкомпьютеров по всей Европе) обнародовали образцы малвари и индикаторы компрометации по некоторым из инцидентов.

Также в прошедшие выходные немецкий эксперт Роберт Хеллинг опубликовал анализ малвари, заразившей высокопроизводительный вычислительный кластер на физическом факультете Университета Людвига-Максимилиана в Мюнхене.

Обнародованные специалистами образцы вредоносных программ уже были проанализированы аналитиками компании Cado Security. Компания пишет, что злоумышленники, похоже, получили доступ к суперкомпьютерным кластерам через скомпрометированные учетные данные SSH (что ранее косвенно подтверждала администрация ARCHER).

Судя по всему, учетные данные были похищены у персонала университетов, которому доступ к суперкомпьютерам был предоставлен для выполнения вычислений. «Угнанные» SSH-данные принадлежали университетам в Канаде, Китае и Польше.

Хотя пока нет неопровержимых доказательств того, что все атаки были осуществлены одной и той же хакерской группой, схожие имена файлов малвари и сетевые индикаторы указывают на то, что за всеми инцидентами могли стоять одни и те же люди.

Исследователи Cado Security полагают, что получив доступ к ноду суперкомпьютера, хакеры использовали эксплоит для уязвимости CVE-2019-15666, что позволяло им обеспечить себе root-доступ и развернуть на зараженном суперкомпьютере майнер криптовалюты Monero (XMR).

Однако стоит отметить и еще один интересный факт, на который мы уже обращали внимание на прошлой неделе: многие организации, чьи суперкомпьютеры были атакованы, ранее объявляли о том, что отдают приоритет исследованиям, касающимся COVID-19. В итоге существует теория, что хакеры хотели похитить результаты этих исследований или попросту их саботировать.

Источник
 

Матушкин Андрей Николаевич

Президент IAPD
Команда форума
Приватный уровень доступа
Действительный члены НП "МОД"
Регистрация
1 Январь 1970
Сообщения
19.444
Репутация
1.062
Баллы
113
Возраст
48
Адрес
Россия,
Веб-сайт
o-d-b.ru
Суперкомпьютеры по всей Европе подверглись атакам: сверхмощные машины заставили тайно майнить криптовалюту. Сообщения о таких инцидентах поступили из Великобритании, Германии и Швейцарии, а также, по неподтвержденным данным, от похожей атаки пострадал высокопроизводительный вычислительный центр в Испании.
Спасибо! Крайне интересная информация!
 

Администратор

Приватный уровень доступа
Действительный члены НП "МОД"
Питерская секция IAPD
Регистрация
1 Февраль 2012
Сообщения
22
Репутация
6
Баллы
3
Суперкомпьютеры по всей Европе подверглись атакам: сверхмощные машины заставили тайно майнить криптовалюту. Сообщения о таких инцидентах поступили из Великобритании, Германии и Швейцарии, а также, по неподтвержденным данным, от похожей атаки пострадал высокопроизводительный вычислительный центр в Испании.

Первое сообщение об атаке поступило на прошлой неделе из Эдинбургского университета, где размещается суперкомпьютер ARCHER. Как мы уже писали, администрация была вынуждена приостановить работу ARCHER, а также сбросить SSH-пароли для предотвращения дальнейших атак.
Толи ещё будет.
 

Макаров Виталий Николаевич

Приватный уровень доступа
Действительный члены НП "МОД"
Регистрация
10 Сентябрь 2018
Сообщения
112
Репутация
155
Баллы
43
Возраст
42
Адрес
Красноярский край, п. Н-Ингаш, ул. Таёжная, 1/1-1
Спасибо за интересный материал!