Les pirates ont réussi à installer des logiciels malveillants d'extraction de cryptomonnaie sur plusieurs superordinateurs à travers l'Europe, qui ont maintenant dû être arrêtés pendant leur enquête. Des incidents de sécurité ont été signalés dans des installations de supercalculateurs au Royaume-Uni, en Allemagne et en Suisse, tandis qu'une rumeur similaire s'est également produite dans un centre de calcul haute performance en Espagne. L'Université d'Édimbourg, qui gère le supercalculateur ARCHER, a subi la première attaque et l'organisation a signalé avoir désactivé l'accès au système et réinitialisé les mots de passe SSH en raison d'un exploit de sécurité sur les nœuds de connexion ARCHER. Le même jour, l'organisation chargée de coordonner les projets de recherche sur les supercalculateurs terrestres du Bade-Wurtemberg, en Allemagne, a annoncé que cinq de ses clusters de calcul haute performance avaient été arrêtés en raison d'incidents de sécurité. similaire. Plus tard dans la semaine, le centre informatique Leibniz (LRZ) de l'Académie bavaroise des sciences a annoncé avoir déconnecté un groupe d'ordinateurs d'Internet à la suite d'une faille de sécurité. Les responsables du Centre de recherche Julich ont annoncé la fermeture des supercalculateurs JURECA, JUDAC et JUWELS après un incident de sécurité informatique. L'Université technique de Dresde a également annoncé la fermeture de son supercalculateur Taurus.
Cibler les supercalculateurs
Bien qu'aucune des organisations dont les supercalculateurs ont été affectés par ces incidents de sécurité n'ait divulgué de détails à leur sujet, l'équipe de réponse aux incidents de sécurité informatique (CSIRT) pour l'infrastructure de réseau européenne (EGI) a publié des échantillons logiciels d'indicateurs malveillants et de compromission du réseau pour certains d'entre eux. les attaques. . Après avoir examiné ces échantillons de logiciels malveillants, la société de cybersécurité britannique Cado Security estime que les attaquants aiment accéder à des clusters de superordinateurs en utilisant des informations d'identification SSH compromises. Ces informations d'identification semblent avoir été volées au personnel universitaire du Canada, de Chine et de Pologne qui avait accès à des superordinateurs pour effectuer des tâches informatiques complexes et exigeantes. Chris Doman, co-fondateur de Cado Security, a déclaré à ZDNet que les noms de fichiers malveillants et les indices de réseau similaires suggèrent que ces incidents de sécurité pourraient avoir été causés par le même acteur malveillant. Selon leur analyse, l'attaquant a exploité la vulnérabilité CVE-2019-15666 du noyau Linux pour obtenir un accès root, puis a déployé une application pour exploiter la crypto-monnaie Monero. Devoir arrêter simultanément autant de superordinateurs en raison d’incidents de sécurité est sans précédent, et malheureusement bon nombre de ces systèmes étaient utilisés à l’époque pour rechercher et étudier le Covid-19. Via ZDNet