Skip to main content

Gli hacker trasformano i supercomputer in piattaforme per minare criptovaluta Monero

(Image credit: Shutterstock / Timofeev Vladimir)

Gli hacker sono riusciti a installare malware per minare criptovaluta su più supercomputer europei, successivamente disconnessi in attesa delle indagini.

Incidenti di sicurezza sono stati segnalati nel Regno Unito, in Germania e in Svizzera, presso strutture che ospitano supercomputer, mentre corre voce di un'ulteriore violazione della sicurezza in un centro di calcolo ad alte prestazioni situato in Spagna.

L'Università di Edimburgo che gestisce il supercomputer ARCHER è stata quella a subire il primo attacco e l'organizzazione ha riferito di aver disabilitato l'accesso al sistema e di aver reimpostato la password SSH a causa di una falla di sicurezza sui nodi di accesso al sistema. Lo stesso giorno, l'organizzazione responsabile del coordinamento dei progetti di ricerca tra supercomputer nello stato tedesco del Baden-Württemberg, bwHPC ha annunciato che cinque dei suoi cluster di elaborazione ad alte prestazioni sono stati disconnessi a seguito di simili incidenti di sicurezza. 

Nella stessa settimana, il Leibniz Computing Center (LRZ) dell'Accademia Bavarese delle Scienze ha annunciato di aver disconnesso un cluster informatico da Internet a seguito di una violazione della sicurezza. I funzionari del Centro di ricerca Julich hanno quindi annunciato di aver chiuso i supercomputer JURECA, JUDAC e JUWELS dopo un incidente di sicurezza IT. L'Università Tecnica di Dresda ha sua volta annunciato di aver dovuto disconnettere anche il suo supercomputer Taurus.

Supercomputer nel mirino

Mentre nessuna delle organizzazioni i cui supercomputer sono stati colpiti da questi incidenti di sicurezza ha pubblicato alcun dettaglio sui fatti accaduti, il Computer Security Incident Response Team (CSIRT) per l'European Grid Infrastructure (EGI) ha pubblicato dei campioni di malware e indicatori di compromissione della rete per alcuni degli attacchi subiti.

Dopo aver esaminato questi malware, la società di sicurezza informatica con sede nel Regno Unito, Cado Security, ritiene che gli aggressori abbiano ottenuto l'accesso ai cluster di supercomputer utilizzando credenziali SSH compromesse. Tali credenziali sembrano essere state rubate da personale universitario di Canada, Cina e Polonia, a cui era stato dato accesso ai supercomputer per eseguire complesse attività di calcolo.

Il co-fondatore di Cado Security, Chris Doman, ha dichiarato a ZDNet che simili nomi di malware e indicatori di rete indicano che questi attacchi potrebbero essere stati eseguiti dallo stesso soggetto. In base alla sua analisi, l'attaccante ha sfruttato la vulnerabilità CVE-2019-15666 del kernel di Linux per ottenere l'accesso root e quindi ha utilizzato un'applicazione che permette di estrarre la criptovaluta Monero.

La chiusura di così tanti supercomputer contemporaneamente a causa di problemi di sicurezza non ha storicamente alcun precedente e sfortunatamente molti di questi sistemi venivano utilizzati in precedenza per la ricerca e lo studio di Covid-19.

Fonte: ZDNet