Supercomputer in varie parti dell’Europa sono stati “infettati” da malware per il mining di criptovalute , obbligati a svolgere attività di mining occulto a favore dei suoi creatori, sfruttando – ovviamente senza autorizzazione – risorse computazionali e inficiando le prestazioni di server e altri dispositivi a questi legati.
Incidenti di sicurezza sono stati riportati nel Regno Unito, in Germania, in Svizzera e un meccanismo di intrusione simile a quello usato in altre località è stato segnalato anche in un high-performance computing center situato in Spagna.
Il primo report di attacco è stato segnalato lunedì dall’Università di Edimburgo dove si trova il sistema ARCHER (Academic Research Computing High End Resource) usato a supporto di calcolo ad alte prestazioni per progetti di ricerca e industria nel Regno Unito. Il Consiglio di ricerca ha riferito “una falla di sicurezza nei nodi di login di ARCHER”, spiegando che era stato necessario disattivare il sistetema e resettare le password SSH per impedire ulteriori intrusioni.
bwHPC, l’organizzazione che coordina progetti di ricerca nell’ambito dei supercomputer nel Baden-Württemberg (uno dei 16 stati federati della Germania), ha annunciato – sempre lunedì – che cinque dei suoi cluister per l’high-performance computing dovevano essere spenti per via di “incidenti di sicurezza”.
Problema simile anche in Spagna, dove mercoledì il ricercatore Felix von Leitne ha riferito di problemi di sicurezza in un supercomputer che si trova a Barcellona, anche questo spento per indagare sull’accaduto. Altri incidenti sono stati segnalati giovedì nel centro di supercomputing Leibniz-Rechenzentrum (LRZ) – istituto dell’Accademia bavarese delle scienze – che ha dovuto scollegare un cluster (un insieme di computer connessi tra loro tramite una rete telematica) da internet.
Dopo l’annuncio di LRZ, altri annunci simili sono arrivati dal Julich Research Center della città di Julich (Germania), con la disattivazione dei supecomputer JURECA, JUDAC e JUWELS. Una prima analisi di un malware che ha colpito il cluster di high-performance computing presso la facoltà di fisica dell’Università Ludwig Maximilian di Monaco, è stata pubblicata dallo scienziato tedesco Robert Helling.
Anche il Centro Svizzero di Calcolo Scientifico (CSCS), ha dovuto disattivare l’accesso esterno all’infrastruttura dei supercomputer per via di “un cyberincidente”, impedendo l’accesso “fino al ripristino di un ambiente sicuro”.
Nessuna delle varie organizzazioni ha indicato dettagli sulle intrusioni ma il Computer Security Incident Response Team (CSIRT) dell’European Grid Infrastructure (EGI) che fornire l’accesso a infrastruttura grid europee, e anche Cado Security – azienda statunitense specializzata in sicurezza – riferiscono che gli attacker sono riusciti ad ottenere accesso mediante credenziali SSH compromesse (il cui accesso è stato ottenuto senza autorizzazioni). Le credenziali sarebbero state sottratte a componenti delle università permettendo di ottenere accesso e avviare attività sui supercomputer.
Non è la prima volta che incidenti di questo tipo accadono e l’accesso a server e supercomputer per il mining permette ai cybercriminali di generare più introiti rispetto al mining sfruttando i soli computer di utenti privati. L’hardware di un server o supercomputer è ovviamente molto più produttivo e consente di ottenere più risorse da dedicare al mining. Infettare uno di questi sistemi è un’operazione meno ovvia (in particolare se i cybercriminali non sono così avidi ed evitano di accaparrare per loro tutte le risorse informatiche disponibili.
Tutti gli articoli di macitynet dedicati alla sicurezza sono disponibili da questa pagina.