По Европе прокатилась волна взломов суперкомпьютеров
В 2018 году одним из ведущих трендов в области кибер-преступлений стал так называемый криптоджекинг. Этот кибер-преступный метод включает в себя установку вредоносных программ на компьютеры жертв и использование их вычислительной мощности для добычи криптовалют. В том же году количество обнаружений такого рода кибер-атак выросло на 4000%, а в Великобритании от подобных кибер-угроз пострадали до 59% компаний.
Однако сегодня криптоджекинг, похоже, почти полностью исчез или, по крайней мере, многое потерял, так как закрылся один из самых популярных сервисов для криптоджекинга Coinhive. С тех пор кибер-преступникам пришлось прибегнуть к другим методам заработка денег. Вернее сказать, до недавнего времени.
Взлом европейских суперкомпьютеров
В середине мая 2020 года несколько суперкомпьютеров в европейских институтах были заражены вредоносными программами для криптоджекинга. Из-за этих инцидентов организации, в которых расположены эти суперкомпьютеры, были вынуждены прекратить свои научные исследования, чтобы исследовать вторжения.
Помимо инцидентов в Великобритании, Германии и Швейцарии, есть подозрения, что суперкомпьютер в Барселоне также пострадал от этой вредоносной программы. Первый инцидент был обнаружен в Эдинбургском университете 11 мая, когда был заражен суперкомпьютер ARCHER. Университет сообщил об «эксплуатации системы безопасности на узлах входа ARCHER» и закрыл систему для расследования и сброса паролей, чтобы предотвратить дальнейшие инциденты.
В тот же день организация bhHPC, которая координирует исследовательские проекты, ведущиеся на суперкомпьютерах в Баден-Вюртембурге в Германии, объявила, что ей пришлось закрыть пять своих компьютерных кластеров из-за аналогичных инцидентов с безопасностью.
Новости об инцидентах безопасности продолжали поступать в среду той же недели, когда в своем блоге эксперт по безопасности Феликс фон Лейтнер заявил, что был заражен суперкомпьютер в Барселоне. В последующие дни из Баварии, Мюнхена, Дрездена и Цюриха стали поступать сообщения о новых инфекциях.
Как можно было взломать эти суперкомпьютеры?
Хотя ни одно из пострадавших учреждений не опубликовало никаких подробностей о вторжениях, компьютерная группа по реагированию на инциденты ИБ (CSIRT) из Европейской сетевой инфраструктуры (European Grid Infrastructure) опубликовала образцы вредоносного ПО и собрала индикаторы компрометации сети в рамках данных инцидентов.
Проведенные исследования позволяют предположить, что злоумышленники, скорее всего, смогли проникнуть на суперкомпьютеры, используя скомпрометированные учетные данные для Secure Shell (SSH). Хакеры, по-видимому, украли учетные данные у университетских исследователей, которым был предоставлен доступ к этим суперкомпьютерам для выполнения проектов. Скомпрометированные учетные данные были получены из университетов Канады, Китая и Польши.
Оказавшись внутри компьютеров, злоумышленники использовали существующий эксплойт для уязвимости CVE2019-15666, чтобы получить рутовский доступ. Они использовали этот доступ для развертывания приложения, предназначенного для майнинга криптовалюты Monero. Многие из этих суперкомпьютеров проводили исследования на тему COVID-19, когда произошли эти инциденты.
Даже суперкомпьютеры нуждаются в расширенной информационной безопасности
Эти инциденты являются еще одним доказательством того, что информационная безопасность является ключевым элементом в современном мире: даже самые продвинутые суперкомпьютеры не защищены от кибер-преступников. Из этих кибер-атак можно сделать два вывода:
Гигиена паролей имеет первостепенное значение для защиты систем. Если вы используете слабый пароль, ваша организация может быть подвержена воздействию всех видов кибер-угроз. На самом деле, в 2019 году 30% случаев заражения шифровальщиками стали возможными благодаря слабому паролю
Уязвимости должны быть исправлены как можно скорее, чтобы избежать вторжений. На протяжении всей истории информационной безопасности уязвимости были причиной целого ряда инцидентов, многие из которых можно было бы остановить, просто своевременно применив соответствующий патч