Qwanturank : Les pirates transforment les superordinateurs en plates-formes minières de crypto-monnaie

Qwanturank
Les pirates ont réussi à installer des logiciels malveillants d’extraction de crypto-monnaie sur plusieurs supercalculateurs à travers l’Europe qui ont maintenant dû s’arrêter pendant qu’ils enquêtaient.
Des incidents de sécurité dans des installations abritant des superordinateurs ont été signalés au Royaume-Uni, en Allemagne et en Suisse tandis qu’une rumeur similaire aurait également eu lieu dans un centre de calcul haute performance situé en Espagne.
L’Université d’Édimbourg, qui gère le superordinateur ARCHER, a subi la première attaque et l’organisation a signalé qu’elle avait désactivé l’accès au système et réinitialisé les mots de passe SSH en raison d’une exploitation de la sécurité sur les nœuds de connexion ARCHER. Le même jour, l’organisation responsable de la coordination des projets de recherche entre les supercalculateurs du Land de Bade-Wurtemberg, en Allemagne, a annoncé que cinq de ses clusters de calcul haute performance avaient été fermés à la suite d’incidents de sécurité similaires.
Plus tard dans la semaine, le centre informatique Leibniz (LRZ) de l’Académie bavaroise des sciences a annoncé qu’il avait déconnecté un cluster informatique d’Internet à la suite d’une faille de sécurité. Des responsables du Centre de recherche de Julich ont ensuite annoncé la fermeture des superordinateurs JURECA, JUDAC et JUWELS après un incident de sécurité informatique. L’Université technique de Dresde a également annoncé qu’elle devait également arrêter son supercalculateur Taurus.

Cibler les superordinateurs

Alors qu’aucune des organisations dont les superordinateurs ont été affectés par ces incidents de sécurité n’a publié de détails à leur sujet, la CSIRT (Computer Security Incident Response Team) pour la European Grid Infrastructure (EGI) a publié des échantillons de logiciels malveillants et des indicateurs de compromis de réseau pour certaines des attaques. .
Après avoir examiné ces échantillons de logiciels malveillants, la firme de cybersécurité basée au Royaume-Uni, Cado Security, estime que les attaquants aiment avoir accès aux clusters de superordinateurs en utilisant des informations d’identification SSH compromises. Ces informations d’identification semblent avoir été volées au personnel universitaire du Canada, de la Chine et de la Pologne qui a eu accès aux superordinateurs pour exécuter des tâches informatiques exigeantes et complexes.
Le co-fondateur de Cado Security, Chris Doman, a déclaré à ZDNet que des noms de fichiers malveillants et des indicateurs de réseau similaires suggèrent que ces incidents de sécurité pourraient avoir été causés par le même acteur de la menace. Sur la base de son analyse, l’attaquant a exploité la vulnérabilité CVE-2019-15666 dans le noyau Linux pour accéder à la racine, puis a déployé une application pour exploiter la cyrptocurrency Monero.
Devoir arrêter ce nombre de supercalculateurs à la fois en raison d’incidents de sécurité est sans précédent et, malheureusement, bon nombre de ces systèmes étaient utilisés pour rechercher et étudier Covid-19 à l’époque.
Via ZDNet
by Agence Qwanturank