Vários supercomputadores na Europa que estão trabalhando na pesquisa COVID-19 foram alvo de ataques de mineração de criptomoedas durante a semana passada. Os relatos das incursões começaram a chegar na segunda-feira passada, quando supercomputadores no Reino Unido e na Alemanha estavam entre as primeiras vítimas.
Na última segunda-feira, o Serviço Nacional de Supercomputação do Reino Unido, ARCHER, anunciou que havia desativado o acesso ao seu sistema após a exploração de seus nós de login. O incidente está sob investigação; de acordo com o aviso no site da organização, todas as chaves do Secure Shell (SSH) e as senhas do ARCHER serão reescritas e não serão mais válidas.
“Quando o ARCHER retornar ao serviço, todos os usuários deverão usar duas credenciais para acessar o serviço: uma chave SSH com uma senha e sua senha do ARCHER”, disse o centro.
Enquanto isso, a Baden-Württemberg High Performance Computing da Alemanha disse em seu site que também foi atacada no mesmo dia, levando-a a colocar cinco de seus clusters offline, citando um incidente de segurança.
E isso ainda não é tudo. O Centro Nacional de Super Computação da Suíça também reconheceu um ataque e disse no fim de semana que os centros acadêmicos da Europa e do mundo estavam combatendo ataques cibernéticos e, uma vez que detectaram atividades maliciosas, também estavam impedindo o acesso externo ao seu centro.
“Atualmente estamos investigando o acesso ilegal ao centro. Nossos engenheiros estão trabalhando ativamente para trazer de volta os sistemas o mais rápido possível para reduzir ao mínimo o impacto sobre nossos usuários ”, afirmou Thomas Schulthess, diretor da CSCS.
A European Grid Infrastructure (EGI) publicou as conclusões de sua equipe de resposta a incidentes de segurança informática (EGI-CSIRT), que investigou dois dos incidentes de segurança que podem ou não estar relacionados. Com base em sua análise , o hacker usou credenciais de SSH comprometidas para obter acesso aos sistemas e usá-los para extrair o Monero. EGI-CSIRT apontou que existem vítimas na Europa, assim como na China e na América do Norte; no entanto, não foi possível confirmar como as credenciais do SSH foram roubadas.
Mais um grupo hacker em atividade?
Até o momento, não há nenhuma declaração oficial sobre se os ataques foram realizados por um hacker ou por vários grupos. Mas pode-se especular que possa haver alguma relação entre eles, já que os alvos eram semelhantes e os ataques foram realizados ao longo de uma semana.
O especialista em segurança cibernética da ESET, Jake Moore, disse o seguinte sobre os ataques: “O interessante é que parece que os hackers atacaram os supercomputadores completamente remotamente pela primeira vez, pois antes sempre havia um membro interno que instala o malware de criptomoeda usado para o ataque. Todas as credenciais de login do SSH agora precisarão ser redefinidas, o que pode demorar um pouco, mas isso é vital para interromper novos ataques. Depois que uma lista de credenciais é comprometida, é uma corrida contra o tempo restaurá-las. Infelizmente, o prazo de entrega geralmente é um avanço suficiente para os atores de ameaças aproveitarem o software de mineração ”, acrescentou.
Traduzido e adaptado de: welivesecurity.com
