Evropské superpočítače byly napadeny malwarem pro těžbu kryptoměny
18.5.2020, Jáchym Šlik, aktualita
Univerzitní superpočítače ve Velké Británii, Německu, Švýcarsku a nejspíš také ve Španělsku byly minulý týden napadeny malwarem. Cílem útočníků je využití jejich výkonu pro těžbu kryptoměny, ale zkomplikovali tím třeba výzkumy týkající se koronaviru.
Několik evropských superpočítačů patřící univerzitám či vědeckým institucím bylo minulý týden napadeno malwarem, který pravděpodobně pochází od stejného útočníka. První zpráva přišla v pondělí od Edinburské univerzity, která provozuje superpočítač Archer. O pár hodin později vydala zprávu organizace bwHPC koordinující výzkumné projekty napříč superpočítači ve spolkové zemi Bádensko-Württembersko. Kvůli bezpečnostnímu incidentu muselo být odstaveno pět počítačových clusterů, mimo jiné na univerzitě ve Stuttgartu nebo v technickém institutu v Karlsruhe. Útoky pokračovaly i v následujících dnech, ale žádná z postižených organizací nezveřejnila detaily.
Evropská gridová infrastruktura (EGI), která koordinuje výzkum pomocí superpočítačů v celé Evropě, publikovala koncem týdne vzorky malwaru a indikátory napadení. Později tyto vzorky přezkoumala i americká společnost Cado Security zabývající se kybernetickou bezpečností. Z dostupných informací se zdá, že hackeři využili přihlašovací údaje k serverům SSH, které odcizili zaměstnancům univerzit v Kanadě, Číně a Polsku. Vědecké instituce mezi sebou často sdílí přístup k superpočítačům, aby mohli vzdáleně využít jejich volné kapacity. Chris Doman měl serveru ZDNet sdělit, že podle jasných indícií by měl za útoky stát stejná skupina, ačkoliv zatím nic oficiálně potvrzeno nebylo.
Poté, co hackeři získali přístup k nodu superpočítače, patrně využili zranitelnosti linuxového kernelu CVE-2019-15666, aby získali přístup ke správcovskému účtu root. Následně nasadili aplikaci pro těžbu kryptoměny Monero (XMR). Podobný scénář se patrně opakoval ve středu, kdy musel být z bezpečnostních příčin vypnut superpočítač v Barceloně. O den později oznámilo napadení několik institucí v Německu. Bavorská akademie věd musela odpojit od internetu cluster v Leibniz-Rechenzentrum, po kterém následovaly superpočítače JURECA, JUDAC a JUWELS v Jülich Supercomputing Centre nebo superpočítač v Drážďanech. O víkendu byl napaden také stroj Mnichovské univerzity a externí přístup ke své počítačové infrastruktuře muselo uzavřít rovněž Swiss National Supercomputing Centre v Curychu.
Jak dodává server ZDNet, ke snaze zneužít vysoký výkon superpočítačů k těžbě kryptoměny nedošlo poprvé. Případy, kdy se o to pokusí útočník zvenčí, jsou ovšem poměrně vzácné. Často jsou to totiž právě zaměstnanci dané instituce, kteří do počítače nainstalují software těžící kryptoměny. Takový případ byl dříve zaznamenán v ruském federálním středisku pro jaderný výzkum nebo australském meteorologickém úřadu. Aktuální případ je ovšem unikátní ještě z jednoho důvodu. Hackeři totiž provedli útok v době, kdy se velká část provozovatelů superpočítačů po celém světě rozhodla využít výkon pro výzkumy týkající se onemocnění COVID-19.
