Les pirates ont réussi à installer des logiciels malveillants d'extraction de crypto-monnaie sur plusieurs supercalculateurs à travers l'Europe qui ont maintenant dû s'arrêter pendant qu'ils enquêtaient.
Des incidents de sécurité dans des installations abritant des superordinateurs ont été signalés au Royaume-Uni, en Allemagne et en Suisse tandis qu'une rumeur similaire aurait également eu lieu dans un centre de calcul haute performance situé en Espagne.
Plus tard dans la semaine, le centre informatique Leibniz (LRZ) de l'Académie bavaroise des sciences a annoncé qu'il avait déconnecté un cluster informatique d'Internet à la suite d'une faille de sécurité. Des responsables du Centre de recherche de Julich ont ensuite annoncé la fermeture des superordinateurs JURECA, JUDAC et JUWELS après un incident de sécurité informatique. L'Université technique de Dresde a également annoncé qu'elle devait également arrêter son supercalculateur Taurus.
Sommaire
Cibler les superordinateurs
Alors qu'aucune des organisations dont les superordinateurs ont été affectés par ces incidents de sécurité n'a publié de détails à leur sujet, la CSIRT (Computer Security Incident Response Team) pour la European Grid Infrastructure (EGI) a publié des échantillons de logiciels malveillants et des indicateurs de compromis de réseau pour certaines des attaques. .
Après avoir examiné ces échantillons de logiciels malveillants, la firme de cybersécurité basée au Royaume-Uni, Cado Security, estime que les attaquants aiment avoir accès aux clusters de superordinateurs en utilisant des informations d'identification SSH compromises. Ces informations d'identification semblent avoir été volées au personnel universitaire du Canada, de la Chine et de la Pologne qui a eu accès aux superordinateurs pour exécuter des tâches informatiques exigeantes et complexes.
Le co-fondateur de Cado Security, Chris Doman, a déclaré ZDNet que des noms de fichiers de logiciels malveillants et des indicateurs de réseau similaires suggèrent que ces incidents de sécurité peuvent avoir été causés par le même acteur de la menace. Sur la base de son analyse, l'attaquant a exploité la vulnérabilité CVE-2019-15666 dans le noyau Linux pour accéder à la racine, puis a déployé une application pour exploiter la cyrptocurrency Monero.
Devoir arrêter ce nombre de supercalculateurs à la fois en raison d'incidents de sécurité est sans précédent et, malheureusement, bon nombre de ces systèmes étaient utilisés pour rechercher et étudier Covid-19 à l'époque.
Via ZDNet
