Un grupo de ciberdelincuentes han logrado instalar malware para minar criptomoneda en varios superordenadores de toda Europa, que se han visto obligados a cerrar mientras dura la investigación de acuerdo a ZDNet.
La Universidad de Edimburgo, que gestiona el superordenador ARCHER, sufrió el primer ataque y la organización informó que había deshabilitado el acceso al sistema y modificado las contraseñas de acceso por SSH debido a un fallo de seguridad en los nodos de acceso.
El mismo día, la organización responsable de coordinar los proyectos de investigación de los superordenadores del estado alemán de Baden-Württemberg, bwHPC, anunció que cinco de sus clústeres de computación de alto rendimiento fueron cerrados a raíz de un incidente de seguridad similar.
Días más tarde, el Centro de Computación Leibniz de la Academia de Ciencias de Baviera (LRZ) anunció que había desconectado de Internet un clúster de computación después de una brecha de seguridad.
Representantes del Centro de Investigación Julich anunciaron que apagaron los superordenadores JURECA, JUDAC y JUWELS después de un incidente de seguridad informática. La Universidad Técnica de Dresden también anunció que tuvo que apagar su superordenador Taurus.
Aunque ninguna de las organizaciones cuyos superordenadores se han visto afectados por estos incidentes de seguridad ha publicado ningún detalle sobre lo ocurrido, el Equipo de Respuesta a Incidentes de Seguridad Informática (CSIRT) de la Infraestructura de Red Europea (EGI) ha publicado muestras de malware y pruebas de que la red se vio comprometida en algunos ataques.
Después de revisar las muestras de malware, la empresa de seguridad cibernética Cado Security cree que los atacantes accedieron a los clústeres de superordenadores mediante credenciales SSH comprometidas. Estas credenciales parecen haber sido robadas a personal universitario de Canadá, China y Polonia, a quienes se les dio acceso a los superordenadores para realizar trabajos de computación exigentes y complejos.
Basándose en su análisis, el atacante aprovechó la vulnerabilidad CVE-2019-15666 del kernel de Linux para obtener acceso de root y luego desplegó una aplicación para minar la criptomoneda de Monero.
Nunca antes había sido necesario desconectar tantos superordenadores a la vez por un incidente de seguridad. Muchos de estos sistemas estaban siendo utilizados para investigaciones sobre COVID -19 en este momento.