Стало відомо про те, що кілька суперкомп’ютерів з різних країн європейського регіону на цьому тижні були заражені шкідливим ПО для майнінга криптовалют. Інциденти такого роду відбулися в Великобританії, Німеччині, Швейцарії та Іспанії.
Перше повідомлення про атаку надійшло в понеділок з Единбурзького університету, на майданчику якого розміщений суперкомп’ютер ARCHER. Відповідне повідомлення і рекомендація змінити паролі і SSH-ключі були опубліковані на веб-сайті установи.
В цей же день організація BwHPC, що займається координацією дослідних проектів на суперкомп’ютерах, оголосила про необхідність призупинити доступ до п’яти обчислювальним кластерам на території Німеччини для проведення розслідування «інцидентів безпеки».
Повідомлення подібного роду продовжили надходити в середу, коли дослідник у сфері інформаційної безпеки Фелікс фон Лейтнера (Felix von Leitner) написав у своєму блозі про те, що доступ до що знаходиться в іспанській Барселоні суперкомп’ютера закритий на час проведення розслідування інциденту кібербезпеки.
На наступний день аналогічні повідомлення надійшли з Лейбніцкого обчислювального центру, інституту при Баварської академії наук, а також з дослідницького центру Юліх, розташованого в однойменному німецькому місті. Офіційні особи заявили про те, що після «інциденту з інформаційною безпекою» закритий доступ до суперкомп’ютерів JURECA, JUDAC і JUWELS. Крім того, Швейцарський центр наукових обчислень в Цюріху також закрив зовнішній доступ до інфраструктури своїх обчислювальних кластерів після інциденту з інформаційною безпекою «до відновлення безпечного середовища».
Жодна зі згаданих організацій не опублікувала жодних подробиць щодо інцидентів. Проте, Група реагування на інциденти інформаційної безпеки (CSIRT), яка координує дослідження з використанням суперкомп’ютерів по всій Європі, опублікувала зразки шкідливих програм і додаткові дані по деяким інцидентів.
Зразки шкідливих програм були розглянуті фахівцями американської компанії Cado Security, що працює в сфері інформаційної безпеки. На думку фахівців, зловмисники отримали доступ до суперкомп’ютерів через скомпрометовані призначені для користувача дані і ключі SSH. Також передбачається, що облікові дані були вкрадені у співробітників університетів Канади, Китаю і Польщі, які мали доступ до обчислювальних кластерів для проведення різних досліджень.
Незважаючи на те, що немає офіційних доказів того, що все атаки були здійснені однією групою хакерів, схожих імен файлів шкідливого ПО і мережеві ідентифікатори вказують на те, що серія атак здійснена одним угрупованням. У Cado Security вважають, що зловмисники для доступу до суперкомп’ютерів використовували експлойт для уразливості CVE-2019-15666, а після цього здійснювали розгортання ПО для Майнінг криптовалюта Monero (XMR).
Варто відзначити, що багато організацій, які були змушені закрити доступ до суперкомп’ютерів на цьому тижні, раніше оголосили про те, що віддають пріоритет дослідженням коронавирусной інфекції COVID-19.