Na Europa foram atacados computadores superpoderosos em universidades e centros de pesquisa: hackers invadiram supercomputadores europeus e os forçaram a minerar criptomoedas secretamente.
Relatos de tais incidentes vieram do Reino Unido, Alemanha e Suíça, e, de acordo com relatos não confirmados, um centro de informática de alto desempenho na Espanha sofreu um ataque semelhante.
O primeira mensagem de ataque veio na semana passada da Universidade de Edimburgo, que abriga o supercomputador ARCHER.
“A administração foi forçada a suspender o ARCHER, bem como redefinir senhas SSH para evitar novos ataques”, – disseram representantes da universidade.
Em seguida, a organização alemã BwHPC, que coordena projetos de pesquisa em supercomputadores na Alemanha, também anunciou que cinco dos seus clusters de computação de alto desempenho estariam temporariamente indisponíveis devido a problemas semelhantes. Depois que os ataques foram desativados:
- Supercomputador Hawk instalado no Universidade de Estugarda no Centro de Computação de Alto Desempenho de Stuttgart;
- bwUniCluster 2.0 e clusters ForHLR II no Instituto de Tecnologia de Karlsruhe;
- Supercomputador bwForCluster JUSTUS, hospedado pelo Universidade de Ulm e usado por químicos e cientistas da computação quântica;
- Supercomputador bwForCluster BinAC instalado no Universidade de Tubinga e usado pela bioinformática.
Depois disso, Pesquisador de SI Félix von Leitner disse em seu blog que também foi feito um ataque a um supercomputador localizado na Espanha, como resultado, temporariamente não funciona.
Na quinta-feira passada continuaram a chegar relatórios sobre hacks. Então, o episódio de hackers confirmado representantes do Centro de Computação Leibniz, trabalhando sob o patrocínio do Academia de Ciências da Baviera. Depois de um ataque, havia cluster de computação desconectado.
No mesmo dia, o Centro de Pesquisa Yulich, Na Alemanha, também relatou comprometimento. Funcionários disse eles tiveram que bloquear o acesso aos supercomputadores JURECA, JUDAC e JUWELS.
A Universidade Técnica de Dresden anunciado que foi forçado a suspender seu supercomputador Taurus.
Fim-de-semana passado, o Centro Suíço de Computação Científica (CSCS) em Zurique também foi forçado bloquear o acesso externo à sua infraestrutura de supercomputadores devido a um ataque.
"Interessantemente, nenhuma das organizações acima publicou quaisquer detalhes do que aconteceu”, – questionou Felix von Leitner.
Só agora a situação começou a esclarecer: Especialistas CSIRT (a organização europeia que coordena a investigação sobre supercomputadores em toda a Europa) amostras liberadas de malware e indicadores de comprometimento após alguns dos incidentes.
Também no fim de semana, Especialista alemão Roberto Helling Publicados uma análise de um malware que infectou um cluster de computação de alto desempenho no departamento de física da Universidade Ludwig-Maximilian em Munique.
Cado Segurança analistas já analisaram as amostras de malware divulgadas por especialistas.
“Os invasores parecem ter obtido acesso a clusters de supercomputadores por meio de credenciais SSH comprometidas (conforme confirmado anteriormente pela administração ARCHER)”, – escrevem pesquisadores da Cado Security.
Aparentemente, as credenciais foram roubadas de funcionários da universidade, que tiveram acesso a supercomputadores para realizar os cálculos. Os dados SSH “roubados” pertenciam a universidades no Canadá, China e Polônia.
Embora não haja evidências explícitas de que todos os ataques foram realizados pelo mesmo grupo de hackers, nomes de arquivos de malware semelhantes e indicadores de rede apontam que as mesmas pessoas podem estar por trás de todos os incidentes.
“Depois de obter acesso ao nó do supercomputador, os hackers usaram a exploração para a vulnerabilidade CVE-2019-15666, o que lhes permitiu proteger o acesso root e implantar o minerador de criptomoeda Monero (XMR) no supercomputador infectado”, – dizem os especialistas da Cado Security.
No entanto, vale a pena notar outro fato interessante: muitas organizações, cujos supercomputadores foram atacados, anunciaram anteriormente que dão prioridade às pesquisas relacionadas ao COVID-19. Finalmente, existe uma teoria de que os hackers queriam roubar os resultados desses estudos ou simplesmente sabotá-los.
Gostaria de lembrar que recentemente o maior operador hospitalar privado da Europa, Fresenius, foi atacado com ransomware Snake, que colocou em risco pacientes com coronavírus e pesquisas sobre esse tema.