Um número incontável de hackers começou a se aproveitar do acesso a supercomputadores para plantar mineradores de criptomoedas – scripts que consomem a energia dessas máquinas em cálculos clandestinos, economizando eletricidade para os bandidos e (naturalmente0 gerando lucros. A descoberta de scripts foi feita em supercomputadores no Reino Unido, Alemanha e Suíça, mas há suspeitas de que isso também possa ter acontecido num supercomputador espanhol.
O portal ZDNet entrevistou um pesquisador de segurança, cuja opinião é de que os hackers exploraram a vulnerabilidade CVE-2019-15666 para obter acesso root aos supercomputadores e, em seguida, implantam um minerador de criptomoeda Monero (XMR). Outros especialistas especulam que os supercomputadores foram invadidos por atores de estados-nação porque estão envolvidos na pesquisa sobre o surto de COVID-19.
Veja isso
Servidores Linux estão sob ataque há uma década
Adva anuncia projeto em criptografia pós-quântica para VPNs
Na Alemanha, o Karlsruhe Institute of Technology, que lidera o consórcio de Computação de Alto Desempenho do Estado de Baden Wurtenberg, anunciou na última segunda feira a suspensão do acesso externo para manutenção nos seus cinco supercomputadores. O comunicado dizia:
“Caros usuários, devido a um incidente de segurança de TI, os sistemas HPC em todo o estado
- bwUniCluster 2.0,
- ForHLR II,
- bwForCluster JUSTUS,
- bwForCluster BinAC e
- Falcão”
não estão disponíveis no momento. Nossos especialistas já estão trabalhando na avaliação do problema. Informaremos você assim que houver um cronograma confiável para a retomada da operação.“
Outro supercomputador com suspeitas de ter sido explorado é o ARCHER, da Universidade de Edimburgo, na Escócia.
“Devido a uma exploração de segurança nos nós de logon do ARCHER, foi tomada a decisão de desativar o acesso ao ARCHER enquanto outras investigações ocorrem” diz a página de status do sistema.
“Como você deve saber, o incidente da ARCHER faz parte de um problema muito mais amplo que envolve muitos outros sites no Reino Unido e internacionalmente. Continuamos trabalhando com o Centro Nacional de Segurança Cibernética (NCSC) e Cray / HPE e outras verificações de diagnóstico estão ocorrendo no sistema. ”
A organização redefiniu as senhas SSH em resposta ao incidente.
Na quarta-feira, outro supercomputador foi comprometido, dessa vez em Barcelona, na Espanha. Outros incidentes semelhantes foram noticiados no último sábado: um cluster de computação de alto desempenho na Faculdade de Física da Universidade Ludwig-Maximilians, em Munique, na Alemanha, também foi infectado por um malware.
Além desses, o Centro Suíço de Computação Científicas (CSCS), sediado em Zurique, relatou um incidente cibernético e desativou qualquer acesso externo à sua infraestrutura em resposta à violação da segurança. Um comunicado da instituição diz o seguinte: “O CSCS detectou atividade maliciosa em relação a esses ataques. Devido a essa situação, o acesso externo ao centro foi fechado até a restauração de um ambiente seguro. Os usuários foram informados imediatamente e são atualizados. Não são afetadas as previsões meteorológicas do MeteoSwiss, que também são calculadas no CSCS”.
No final de semana, a Equipe de resposta a incidentes de segurança cibernética (CSIRT) da Infraestrutura do grid elétrico europeu divulgou detalhes técnicos de um malware envolvido nesses incidentes. Pesquisadores da empresa de segurança Cado Security também publicaram Indicadores de Compromisso (IoCs) dessa campanha de malware.
