В течение прошедшей недели суперкомпьютеры Европы, один за другим закрывали доступ к серверам для пользователей – научных и исследовательских центров из разных стран. Временно недоступными из-за проблем с безопасностью оказались вычислительные центры Великобритании, Германии, Швейцарии и Испании.

Первое сообщение об атаке появилось в понедельник из Эдинбургского университета, в котором работает суперкомпьютер ARCHER. Организация сообщила о «использовании безопасности на узлах входа в ARCHER», закрыла систему для расследования и сбросила пароли SSH для предотвращения дальнейших вторжений.

BwHPC, организация, которая координирует исследовательские проекты на суперкомпьютерах в штате Баден-Вюртемберг (Германия), также объявила в понедельник, что пять из ее высокопроизводительных вычислительных кластеров должны быть закрыты из-за аналогичные «инциденты безопасности». В частности:

1. Суперкомпьютер Hawk в высокопроизводительном вычислительном центре Штутгарта (HLRS) в Университете Штутгарта
2. Кластеры bwUniCluster 2.0 и ForHLR II в Технологическом институте Карлсруэ (KIT)
3. Суперкомпьютер bwForCluster JUSTUS для химии и квантовой науки в Ульмском университете
4. Суперкомпьютер биоинформатики bwForCluster BinAC в Тюбингенском университете

Исследователь безопасности Феликс фон Лейтнера в среду заявил в своем блоге, что на суперкомпьютер, расположенный в Барселоне (Испания), также повлияла проблема безопасности, и в результате он был закрыт.

О большинстве инцидентов было сообщено в четверг. Первый из них поступил с Лейбницького вычислительного центра (LRZ), института при Баварской академии наук. В результате атаки были отключены вычислительные кластеры.

В тот же день поступили данные из исследовательского центра в городе Юлих (Германия). Представители центра заявили, что им пришлось закрыть суперкомпьютеры JURECA, JUDAC и JUWELS после проблем с безопасностью. Аналогично, как и Технический университет в Дрездене, который объявил, что также закрыл свой суперкомпьютер Taurus.

Подобная атака была направлена и на высокопроизводительный вычислительный кластер на физическом факультете Университета Людвига-Максимилиана в Мюнхене (Германия). А также «зацепило» Швейцарский центр научных вычислений (CSCS) в Цюрихе (Швейцария).

Вышеперечисленные организации не опубликовали никаких подробностей о вторжении. Однако, Группа реагирования на инциденты по компьютерной безопасности (CSIRT), которая координирует исследования суперкомпьютеров по всей Европе, выпустила образцы вредоносных программ и индикаторы компрометации сети по некоторым из этих инцидентов.

Образцы вредоносных программ были рассмотрены американской компанией по кибербезопасности Cado Security. Она заявила, что злоумышленники, похоже, получили доступ к суперкомпьютерам кластеров через  учетные данные SSH. Кажется, что учетные данные были украдены у членов университета, которым был предоставлен доступ к суперкомпьютерам для выполнения вычислительных задач. Полученные SSH логины принадлежали университетам в Канаде, Китае и Польше.

Крис Доман, соучредитель Cado Security, заявил, что нет официальных доказательств, что все атаки были осуществлены одной группой хакеров. Однако, такие доказательства, как похожие названия файлов вредоносных программ и сетевые индикаторы указывают на то, что это может быть одна группа.

Согласно анализу Домана, когда злоумышленники получили доступ к суперкомпьютерным узлам, они использовали эксплойт для уязвимости CVE-2019-15666, а затем запустили приложение, которое добывал криптовалюту Monero.

Хуже всего то, что большинство из атакованных организаций объявили несколько недель назад, что сейчас сосредоточены на исследовании коронавируса COVID-19. И теперь, через эту атаку, их работа вынужденно остановилась. В итоге существует теория, что хакеры хотели похитить результаты этих исследований или попросту их саботировать. 

Это не первый раз, когда вредоносное ПО устанавливается на суперкомпьютеры для майнинга криптовалюты. Однако, впервые сделано хакерами. В предыдущих случаях, как правило, это делалось сотрудниками самих организаций.