W ostatnim tygodniu wiele superkomputerów w całej Europie zostało zainfekowanych złośliwym oprogramowaniem wydobywającym kryptowaluty. Po udanym incydencie i wykryciu włamania, komputery były wyłączane przez atakujących w celu utrudnienia inwestygacji.

Takie incydenty bezpieczeństwa zostały zgłoszone w Wielkiej Brytanii, Niemczech i Szwajcarii, a podobna ingerencja miała miejsce również w wysokowydajnym centrum obliczeniowym zlokalizowanym w Hiszpanii.
Pierwszy raport o ataku wyszedł na jaw w poniedziałek z Uniwersytetu w Edynburgu, w którym umiejscowiony jest superkomputer ARCHER. Zarząd Uczelni zgłosił złamanie zabezpieczeń w punktach logowania od panelu administracyjnego. Organizacja zamknęła system ARCHER w celu analizy i zresetowała hasła SSH, aby zapobiec dalszym włamaniom.
BwHPC, organizacja koordynująca projekty badawcze na superkomputerach w landzie Badenia-Wirtembergia w Niemczech, ogłosiła również, że pięć z jej wysokowydajnych klastrów obliczeniowych musiało zostać zamkniętych z powodu podobnych „incydentów bezpieczeństwa”.
Dwa dni później kontynuowano ataki. Badacz bezpieczeństwa Felix von Leitner stwierdził w poście na swoim blogu, że największy superkomputer w Barcelonie również padł ofiarą włamania i został wyłączony.
Więcej incydentów ujawniono następnego dnia. Pierwszy pochodzi z Leibniz Computing Center (LRZ), instytutu przy Bawarskiej Akademii Nauk, która stwierdziła, że jej klaster obliczeniowy został odłączony od Internetu po naruszeniu bezpieczeństwa.
Po tym ogłoszeniu, pojawił się kolejny atak w Centrum Badawczym w mieście Julich w Niemczech. Naukowcy powiedzieli, że musieli wyłączyć superkomputery JURECA, JUDAC i JUWELS po „incydencie z bezpieczeństwem IT”. Podobnie uczyniła Politechnika w Dreźnie, która ogłosiła, że musi wyłączyć swój superkomputer Taurus.
Cały czas kolejne podobne incydenty wychodzą na jaw. Najnowszym jest zawieszenie całej infrastruktury superkomputerów w Szwajcarskim Centrum Obliczeń Naukowych w Zurychu w Szwajcarii po naruszeniu zabezpieczeń w celu przywrócenia bezpiecznego i stabilnego środowiska.


Jaki był wektor ataków?

Żadna z powyższych organizacji nie opublikowała szczegółów na temat włamań. Jednak niedawno, zespół CSIRT European Grid Infrastructure (EGI), ogólnoeuropejskiej organizacji koordynującej badania nad superkomputerami w całej Europie, opublikował próbki szkodliwego oprogramowania i poszlaki kompromitacji sieciowej z niektórych z tych incydentów.

Próbki złośliwego oprogramowania zostały potem sprawdzone przez Cado Security, brytyjską firmę zajmującą się cyberbezpieczeństwem. Firma poinformowała, że osoby atakujące uzyskały dostęp do klastrów superkomputerów poprzez zhakowane dane uwierzytelniające SSH. Wydaje się, że poświadczenia zostały skradzione członkom uniwersytetów i zakładów naukowych, którzy otrzymali dostęp do superkomputerów w celu wykonywania prac obliczeniowych. Wykorzystane poświadczenia SSH należały do uniwersytetów w Kanadzie, Chinach i Polsce.

Podobno nie ma oficjalnych dowodów potwierdzających, że wszystkie włamania zostały przeprowadzone przez tę samą grupę. Artefakty, takie jak podobne nazwy plików złośliwego oprogramowania i fingerprinty sieciowe sugerują, że może to być ten sam aktor.

Dalsza część analizy mówi, że atakujący uzyskali dostęp do węzła superkomputera przez SSH, potem prawdopodobnie wykorzystali lukę w zabezpieczeniach CVE-2019-15666 w celu uzyskania dostępu do katalogu głównego, a następnie wdrożyli popularną aplikację, która wydobywała kryptowalutę Monero (XMR).


Na koniec

Te incydenty nie są pierwszym przypadkiem zainstalowania złośliwego oprogramowania do wydobywania kryptowalut na superkomputerze. Są to jednak pierwsze takie zaplanowane ataki, w których hacker miał konkretny cel. W poprzednich incydentach to zwykle pracownik sam instalował kopalnię kryptowalut, dla własnego zysku. Na przykład w lutym 2018 r. rosyjskie władze aresztowały inżynierów z rosyjskiego centrum nuklearnego za wykorzystywanie superkomputera agencji do wydobywania kryptowaluty.

Przykry jest fakt, że wiele tych organizacji, których superkomputery zostały przejęte i potem wyłączone, ogłosiło w poprzednich tygodniach, że nadają priorytet badaniom nad wybuchem COVID-19 i symulacjom epidemii. Badania te najprawdopodobniej został teraz utrudnione z powodu włamania i późniejszych przestojów.