Europese supercomputers misbruikt voor cryptomining
Een reeks supercomputers in Europa werd de voorbije week stilgelegd omdat ze malware bevatten. Criminelen hadden software geïnstalleerd om de cryptomunt monero te delven.
De voorbije week waren er incidenten in het Verenigd Koninkrijk, Duitsland, Zwitserland en mogelijk ook in Spanje, waarbij supercomputers en academische computer clusters werden stilgelegd door beveiligingsincidenten. Veel van de supercomputers werden ingezet om onderzoek te doen naar de huidige covid-19 crisis.
Onder meer de University of Edinburgh meldt dat zijn Archer supercomputer werd stilgelegd om een beveiligingsincident op te lossen. Ook de bwHPC, een Duitse organisatie, meldt dat ze vijf van haar supercomputers in de regio Baden-Württemberg heeft afgesloten. Het gaat onder meer om toestellen aan de universiteit van Stuttgart, Ulm en Tübingen. Verder meldde het Leibniz Computer Center in de streek Bavaria vorige week een veiligheidslek en sloot het daardoor de toegang af tot een cluster van computers. Het Julich Research Center in Julich, ook in Duitsland, moest drie supercomputers afsluiten en de technische universiteit van Dresden legde zijn eigen supercomputer stil. En dan zijn er nog incidenten in München en in Zurich, in Zwitserland.
Een verband tussen de verschillende incidenten is niet bewezen, maar zo’n grote reeks supercomputers die op een week wordt stilgelegd, dat is een trend. Over twee van de incidenten heeft het Europese Computer Security Incident Response Team een rapport geschreven. Het zou hier gaan om een criminele groep die de academische clusters gebruikt om cryptomunten te delven. Ze drongen op de computers binnen via gestolen SSH-inloggegevens, berekent beveiligingsbedrijf cado security in een eigen rapportje. Volgens cado gebruikten de aanvallers, eens binnen, een exploit voor een lek in de Linux kernel om root-toegang te krijgen en zo hun eigen cryptominingsoftware te installeren. Cado ziet ook gelijkenissen tussen bestandsnamen van de malware en netwerkgegevens, waardoor het mogelijk is dat de twee geanalyseerde incidenten het werk zijn van eenzelfde georganiseerde groep.
Het is de eerste keer dat er hackers gevonden worden die crypto delven op supercomputers. Voorbije incidenten van cryptomining software op supercomputers waren meestal het werk van een werknemer of student van de organisatie zelf. De timing van de huidige campagne is echter bijzonder slecht. Veel van de computers werden ingezet voor onderzoek naar covid-19 en voor het bouwen van verspreidingsmodellen voor de ziekte. Dat onderzoek loopt nu vertraging op.
Fout opgemerkt of meer nieuws? Meld het hier