Gli hacker trasformano i supercomputer in piattaforme per minare criptovaluta Monero

(Immagine:: Shutterstock / Timofeev Vladimir)

Gli hacker sono riusciti a installare malware per minare criptovaluta su più supercomputer europei, successivamente disconnessi in attesa delle indagini.

Incidenti di sicurezza sono stati segnalati nel Regno Unito, in Germania e in Svizzera, presso strutture che ospitano supercomputer, mentre corre voce di un'ulteriore violazione della sicurezza in un centro di calcolo ad alte prestazioni situato in Spagna.

L'Università di Edimburgo che gestisce il supercomputer ARCHER è stata quella a subire il primo attacco e l'organizzazione ha riferito di aver disabilitato l'accesso al sistema e di aver reimpostato la password SSH a causa di una falla di sicurezza sui nodi di accesso al sistema. Lo stesso giorno, l'organizzazione responsabile del coordinamento dei progetti di ricerca tra supercomputer nello stato tedesco del Baden-Württemberg, bwHPC ha annunciato che cinque dei suoi cluster di elaborazione ad alte prestazioni sono stati disconnessi a seguito di simili incidenti di sicurezza. 

Nella stessa settimana, il Leibniz Computing Center (LRZ) dell'Accademia Bavarese delle Scienze ha annunciato di aver disconnesso un cluster informatico da Internet a seguito di una violazione della sicurezza. I funzionari del Centro di ricerca Julich hanno quindi annunciato di aver chiuso i supercomputer JURECA, JUDAC e JUWELS dopo un incidente di sicurezza IT. L'Università Tecnica di Dresda ha sua volta annunciato di aver dovuto disconnettere anche il suo supercomputer Taurus.

Supercomputer nel mirino

Mentre nessuna delle organizzazioni i cui supercomputer sono stati colpiti da questi incidenti di sicurezza ha pubblicato alcun dettaglio sui fatti accaduti, il Computer Security Incident Response Team (CSIRT) per l'European Grid Infrastructure (EGI) ha pubblicato dei campioni di malware e indicatori di compromissione della rete per alcuni degli attacchi subiti.

Dopo aver esaminato questi malware, la società di sicurezza informatica con sede nel Regno Unito, Cado Security, ritiene che gli aggressori abbiano ottenuto l'accesso ai cluster di supercomputer utilizzando credenziali SSH compromesse. Tali credenziali sembrano essere state rubate da personale universitario di Canada, Cina e Polonia, a cui era stato dato accesso ai supercomputer per eseguire complesse attività di calcolo.

Il co-fondatore di Cado Security, Chris Doman, ha dichiarato a ZDNet che simili nomi di malware e indicatori di rete indicano che questi attacchi potrebbero essere stati eseguiti dallo stesso soggetto. In base alla sua analisi, l'attaccante ha sfruttato la vulnerabilità CVE-2019-15666 del kernel di Linux per ottenere l'accesso root e quindi ha utilizzato un'applicazione che permette di estrarre la criptovaluta Monero.

La chiusura di così tanti supercomputer contemporaneamente a causa di problemi di sicurezza non ha storicamente alcun precedente e sfortunatamente molti di questi sistemi venivano utilizzati in precedenza per la ricerca e lo studio di Covid-19.

Fonte: ZDNet

Anthony Spadafora

After working with the TechRadar Pro team for the last several years, Anthony is now the security and networking editor at Tom’s Guide where he covers everything from data breaches and ransomware gangs to the best way to cover your whole home or business with Wi-Fi. When not writing, you can find him tinkering with PCs and game consoles, managing cables and upgrading his smart home.