0 |
Многие европейские суперкомпьютеры на прошлой неделе были инфицированы майнерами криптовалюты Monero, и, как результат, были отключены для ограничения ущерба и для расследования происшествий.
Первое сообщение об атаке поступило в прошлый понедельник из университета Эдинбурга (Шотландия), жертвой её стала система ARCHER. В тот же день об отключении пяти своих компьютеров сообщила организация bwHPC, координирующая использование суперкомпьютеров в исследовательских проектах земли Баден-Вюртемберг (Германия). Среди пострадавших: суперкомпьютер Hawk Штутгартского университета, кластеры bwUniCluster 2.0 и ForHLR II в Технологическом институте Карлсруэ, bwForCluster JUSTUS в университете города Ульм, bwForCluster BinAC из Тюбингенского университета.
История получила продолжение в среду, когда эксперт безопасности Феликс фон Ляйтнер (Felix von Leitner) в своём блоге уведомил об аналогичном инциденте с суперкомпьютером в Барселоне (Испания).
В четверг из-за атаки были отключены от внешнего мира кластер Вычислительного Центра им. Лейбница Баварской Академии Наук, а также системы JURECA, JUDAC и JUWELS в Исследовательском центре Юлиха и суперкомпьютер Taurus в Дрезденском технологическом университете.
О новых инцидентах — с кластером мюнхенского университета им. Людвига-Максимилиана и суперкомпьютерный инфраструктурой швейцарского Центра научных вычислений — стало известно в субботу. Тогда же европейская Команда быстрого реагирования на компьютерные происшествия, CSIRT, опубликовала образцы применявшегося в атаках вредоносного кода, а Cado Security из США поделилась результатами их анализа.
По заключению экспертов, для взлома защиты суперкомпьютерных кластеров злоумышленники использовали скомпрометированные учётные данные SSH. Предполагается, что логины SSH были похищены у сотрудников университетов Канады, Китая и Польши, которые выполняли вычисления на этих суперкомпьютерах.
Проникнув в суперкомпьютерный узел, хакеры, скорее всего, использовали эксплойт для уязвимости CVE-2019-15666 чтобы получить root-права, а затем развёртывали приложение — майнер криптовалюты Monero (XMR).
Один из основателей Cado Security, Крис Доман (Chris Doman), заявил в интервью, что пока нет прямых фактов, указывающих, на то, что инициатором всех этих атак была какая-либо одна группа, однако в пользу такого предположения говорит сходство применявшихся имён файлов вредоносного ПО и сетевых индикаторов.
Одним из негативных результатов прокатившейся по Европе волны отключений суперкомпьютеров, станет замедление исследований, связанных с COVID-19. Многие из пострадавших систем были задействованы в инициативах по обузданию пандемии коронавируса.
Про DCIM у забезпеченні успішної роботи ІТ-директора
0 |