Сразу несколько суперкомпьютеров по всей Европе были заражены неизвестным вирусом, который использовал мощность машин для майнинга криптовалют. О взломе системы заявили практически одновременно в Германии, Великобритании, Швейцарии и Испании. Сейчас доступ к суперкомпьютерам закрыт, а специалисты выясняют, каким образом хакерам удалось заразить систему.

Более 10 суперкомпьютеров стали жертвами хакеров

Первое сообщение о взломе системы суперкомпьютера поступило еще в понедельник от сотрудников Эдинбургского университета. Они сообщили об «использовании безопасности на узлах входа в ARCHER». Из-за случившегося инцидента систему компьютера было решено закрыть.

Позже сообщения о несанкционированном входе в систему суперкомпьютеров поступили из Германии, штата Баден-Вюртемберг. Там из-за вторжения в работу компьютеров пришлось закрыть сразу пять кластеров, включая:

  • Суперкомпьютер Hawk на High-Performance Computing Center Stuttgart (РИМ) в Университете Штутгарта
  • Кластеры bwUniCluster 2.0 и ForHLR II в Технологическом институте Карлсруэ (KIT)
  • Суперкомпьютер bwForCluster JUSTUS для химии и квантовой науки в Ульмском университете
  • Суперкомпьютер биоинформатики bwForCluster BinAC в Тюбингенском университете

На этом хакеры не остановились. В среду исследователь безопасности Феликс фон Лейтнер заявил, что проблема безопасности обнаружилась также у суперкомпьютера, который расположен в Барселоне в Испании.

В последующие несколько дней заявления о взломе систем безопасности суперкомпьютеров поступили также из Баварской Академии Наук, Университета Людвига-Максимилиана в Мюнхене, Германия, Швейцарского центра научных вычислений (CSCS) в Цюрихе, Швейцария. В общей сложности более 10 суперкомпьютеров были остановлены до выяснения обстоятельств с нарушением системы безопасности.

Хакеры использовали SSH-логины

Пока ни одно из пострадавших учреждений не выступило в публичном пространстве с заявлением о том, как именно злоумышленникам удалось заразить компьютеры. Однако Группа реагирования на инциденты компьютерной безопасности (CSIRT) для европейской грид-инфраструктуры (EGI), которая координирует исследования суперкомпьютеров по всей Европе, выпустила образцы вредоносных программ и индикаторы компрометации сети по некоторым из этих инцидентов. После детального изучения эксперты пришли к мнению, что хакеры, скорее всего, скомпрометировали учетные данные SSH.

Вероятно, что учетные данные были украдены у членов университета, которым был предоставлен доступ к суперкомпьютерам для выполнения вычислительных заданий. Захваченные SSH логины принадлежали университетам в Канаде, Китае и Польше.

Крис Доман, соучредитель Cado Security, заявил, что, хотя нет официальных доказательств, подтверждающих, что все вторжения были осуществлены одной и той же группой, такие доказательства, как схожие имена файлов вредоносных программ и сетевые индикаторы, указывают на то, что это может быть одна группировка.

«Согласно проведенному анализу, злоумышленники получили доступ к узлу суперкомпьютера, а после чего использовали эксплойтд для уязвимости CVE-2019-15666 для получения корневого доступа, а затем развернули приложение, которое добывало криптовалюту Monero (XMR)», – сообщается в заявлении.

Хуже того, многие организации, у которых на этой неделе вышли из строя суперкомпьютеры, объявили, что они отдают приоритет исследованиям вспышки COVID-19, которые в настоящее время, скорее всего, затруднены из-за вторжения и последующего простоя.