Первое сообщение об атаке пришло из Эдинбургского университета, в котором работает суперкомпьютер ARCHER. Организация сообщила об «угрозе безопасности на узлах входа в ARCHER», закрыла систему ARCHER для расследования и сбросила пароли для предотвращения дальнейших вторжений.
Согласно анализу Криса Домана, соучредителя Cado Security, злоумышленники получили доступ к суперкомпьютерному узлу и скорее всего используя эксплойт (вредоносный код) уязвимости CVE-2019-15666 для получения корневого доступа, а затем развернули приложение, которое добывало криптовалюту Monero (XMR).
Неприятно то, что многие организации, у которых на этой неделе вышли из строя суперкомпьютеры, ранее заявляли, что они отдают приоритет исследованиям вспышки COVID-19.
BwHPC, организация, которая координирует исследовательские проекты на суперкомпьютерах в штате Баден-Вюртемберг, Германия, также объявила в понедельник, что пять из ее высокопроизводительных вычислительных кластеров должны быть закрыты из-за аналогичных «инцидентов безопасности».
Это:
- Суперкомпьютер Hawk на High-Performance Computing Center Stuttgart в Университете Штутгарта
- Кластеры bwUniCluster 2.0 и ForHLR II в Технологическом институте Карлсруэ (KIT)
- Суперкомпьютер bwForCluster JUSTUS для химии и квантовой науки в Ульмском университете
- Суперкомпьютер биоинформатики bwForCluster BinAC в Тюбингенском университете
Больше хакерских инцидентов всплыло на следующий день, в четверг. Первый из них поступил из Лейбницкого вычислительного центра (LRZ), института при Баварской академии наук, который заявил, что после нарушения безопасности был отключен вычислительный кластер от Интернета.
За объявлением LRZ позже в тот же день последовал другой из исследовательского центра Julich в городе Julich, Германия. Официальные лица заявили, что им пришлось закрыть суперкомпьютеры JURECA, JUDAC и JUWELS после «инцидента с информационной безопасностью». Так же, как и Технический университет в Дрездене, который объявил, что должен был также закрыть свой суперкомпьютер Taurus .
Позднее немецкий ученый Роберт Хеллинг опубликовал анализ вредоносных программ, которые заразили высокопроизводительный вычислительный кластер на физическом факультете Университета Людвига-Максимилиана в Мюнхене, Германия.
Швейцарский центр научных вычислений (CSCS) в Цюрихе, Швейцария, также закрыл внешний доступ к своей суперкомпьютерной инфраструктуре после «кибер-инцидента» и «до восстановления безопасной среды».
Предварительный анализ вредоносных программ провела компания Cado Security. По их выводам, хакеры получили доступ к суперкомпьютерам, используя скомпрометированные пользовательские данные. Они предположили, что учетные данные украли у сотрудников из Канады, Китая и Польши — у них был доступ к вычислительным центрам других университетов.
Крис Доман, соучредитель Cado Security, заявил, что, хотя нет официальных доказательств, подтверждающих, что все вторжения были осуществлены одной и той же группой, такие доказательства, как схожие имена файлов вредоносных программ и сетевые индикаторы, указывают на то, что это может быть одна группа.