Il caso dei supercomputer europei compromessi per minare criptovalute: ecco cosa succede

Il caso dei supercomputer europei compromessi per minare criptovalute: ecco cosa succede

La scorsa settimana molti supercomputer europei sono stati compromessi per installare malware destinato al mining di Monero. Non vi sono ancora prove, ma è verosimile immaginare che dietro l'accaduto vi sia la stessa mano

di pubblicata il , alle 18:21 nel canale Web
 

Nel corso della settimana passata si sono verificati svariati casi di compromissione dei supercomputer allestiti presso atenei e centri di ricerca europei con l'installazione di malware adibito al mining di criptovalute. I cluster di calcolo sono stati temporaneamente disattivati per poter condurre verifiche e indagini sulle intrusioni e ripristinare i livelli di sicurezza. Gli incidenti si sono verificati per lo più in Germania, ma alcuni casi sono stati riscontrati anche nel Regno Unito, in Svizzera e in Spagna.

Il primo caso risale allo scorso lunedì quando l'Università di Edinburgo, che opera il supercomputer ARCHER, ha segnalato un episodio di "violazione di sicurezza ai nodi di login di ARCHER". La conseguenza è stata la disattivazione del supercomputer per effettuare le indagini ed il reset delle password SSH per prevenire il verificarsi di ulteriori intrusioni.

Nella stessa giornata è poi stata bwHPC, organizzazione che coordina progetti di ricerca tra supercomputer nel land tedesco del Baden-Württemberg, ad annunciare la messa offline di cinque dei suoi cluster di calcolo ad elevate prestazioni per via di incidenti di sicurezza simili. Sono stati disattivati il supercomputer Hawk allestito presso il Höchstleistungsrechenzentrum Stuttgart dell'Università di Stoccarda, i cluster bwUniCluster 2.0 e ForHLR II presso il Karlsruher Institut für Technologie, il cluster bwForCluster JUSTUS dell'Università di Ulma e il bwForCluster BinAC dell'Università di Tubinga.

Il ricercatore di sicurezza Felix von Leitner ha poi pubblicato, nella giornata di mercoledì, un post sul proprio blog indicando come il supercomputer Marenostrum di Barcellona (lo abbiamo visitato lo scorso anno, leggi il nostro report: Marenostrum, in una cappella sconsacrata il supercomputer al servizio della scienza) sia stato colpito da un problema di sicurezza simile ed è stato disattivato di conseguenza.

Il giorno seguente, giovedì 14 maggio, sono venuti alla luce ulteriori casi: il primo al Leibniz-Rechenzentrum che ha notificato di aver disconnesso un cluster di calcolo a seguito di una violazione di sicurezza, seguito poi dall'annuncio del Forschungszentrum Jülich che ha comunicato di aver disattivato i supercomputer JURECA, JUDAC e JUWELS a seguito di un "incidente di sicurezza IT". E la stessa cosa è accaduta all'Università tecnica di Dresda, con il supercomputer Taurus.

Anche la giornata di sabato ha visto ulteriori casi: lo scienziato tedesco Robert Helling ha pubblicato un'analisi del malware che ha infettato un cluster di calcolo alla facoltà di Fisica dell'Università Ludwig-Maximilian di Monaco, mentre il Centro Svizzero di Calcolo Scientifico di Zurigo ha disabilitato l'accesso esterno alla sua infrastruttura supercomputer a seguito di un incidente di sicurezza; l'accesso resterà interdetto fino a quando sarà stato ristabilito un ambiente sicuro.

Installano malware sui supercomputer per minare Monero

Nessuna delle realtà citate fino qui ha pubblicato dettagli specifici sulle intrusioni. E' il Computer Security Incident Response Team dell'European Grid Infrastructure, organizzazione pan-Europea che coordina la ricerca sui supercomputer in Europa, che ha rilasciato gli esempi di malware e gli indicatori di compromissione della rete riscontrati in alcuni di questi incidenti. I sample dei malware sono stati analizzati da Cado Security, società di sicurezza statunitense, che ha sottolineato come gli attaccanti paiono aver ottenuto accesso ai cluster dei supercomputer sfruttando credenziali SSH sottratte a membri di Università in possesso di un accesso legittimo alle risorse di calcolo dei supercomputer. Le credenziali compromesse sembrano appartenere ad atenei canadesi, cinesi e polacchi.

Non vi sono prove ufficiali che dimostrino che tutte le intrusioni siano state condotte dallo stesso gruppo, ma alcuni elementi del malware e degli indicatori di compromissione, così come lo scopo e le occorrenze temporalmente circoscritte suggeriscono che dietro gli incidenti vi sia la stessa mano. Secondo le analisi gli attaccanti, una volta ottenuto l'accesso ad un nodo supercomputing, sfruttano la vulnerabilità CVE-2019-15666 per ottenere l'accesso di root e poter installare un'applicazione destinata al mining della criptovaluta Monero.

A rendere ancor più spiacevole l'accaduto è il fatto che molte delle organizzazioni citate avevano annunciato in precedenza di dare priorità alle attività di ricerca legate alla pandemia COVID-19, che ora risultano ostacolate come conseguenza delle intrusioni e dei successivi downtime dei cluster di calcolo.

Non è la prima volta in cui vengono installati malware di cripto-mining su supercomputer, ma in precedenza si era trattato solamente di impiegati o utenti legittimi del sistema che installavano miner per un loro tornaconto personale, come nel caso del Centro Nucleare Russo nel febbraio del 2018 o del Bureau of Meteorology australiano nel mese successivo.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione.
Leggi la Privacy Policy per maggiori informazioni sulla gestione dei dati personali

3 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
marittimus18 Maggio 2020, 18:36 #1
Un piccolo errore da correggere, in italiano si scrive Edimburgo.
pabloski18 Maggio 2020, 19:20 #2
Centro nucleare russo? Veramente è successo nella centrale di Yuzhnoukrainsk in Ucraina.
Marko_00118 Maggio 2020, 21:12 #3
@pabloski
la notizia aveva caratteri cirillici quindi sono russi...
in realtà, nell'Agosto 2019 indagine n. 22019150000000006,
non avevano attaccato nessun computer, ne della centrale ne degli uffici,
avevano fatto una sorta di stanza segreta e l'avevano riempita
di pc ed usavano agratiss l'energia della centrale
comunque - no problem - ci pensa Akhmetov oligarca, padrone di
miniere di carbone, di centrali termoelettriche e nucleari,
ed ora anche nel fotovoltaico.
ma, dato che avere un fotovoltaico (molto sovvenzionato, l'hanno
agganciato al cambio in euro) rende instabile l'utilizzo delle
centrali in suo possesso, che fa? le spegne anche se costa meno
produrre energia in quel modo, e starebbe pensando di
estrarre criptovaluta per dissipare energia (l'idea è stata
data alla stampa dal ministero dell'Energia)
quelle spente sono 2 centrali messe temporaneamente in quiescenza.
e, così per raccontare, la centrale "NPP sud-ucraina" quella
di Yuzhnoukrainsk, e più esattamente il reattore n°3,
il 20 febbraio 2016 alle 05:45 ha avuto un problema ed è stato
scollegato, il problema probabilmente -non hanno fornito notizie
in merito- potrebbe essere il tentativo di sostituzione del
carburante russo, per cui la centrale è progettata, con
carburante americano della Westinghouse, e per la cronaca
il tentativo era già stato fatto alcuni anni prima
in altra centrale ma con lo stesso esito.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^