Una serie de supercomputadoras en Europa han sido ciberatacadas para minar criptomonedas

Durante los últimos días se han revelado una serie de ataques a supercomputadores de instituciones y universidades europeas, el objetivo de esta campaña era secuestrar los dispositivos y forzarlos a minar criptomonedas. Entre las máquinas afectadas están superordenadores alemanes y suizos.

El primer incidente informado fue el de la supercomputadora ARCHER de la Universidad de Edinburgo. La institución detalló que se había vulnerado el sistema de inicio de sesión, por lo que apagaron la máquina y reiniciaron todas las credenciales como medida de prevención.

Se han informado incidentes de seguridad en el Reino Unido, Alemania y Suiza, mientras que se rumorea que también ocurrió una intrusión similar en un centro de cómputo de alto rendimiento ubicado en España.

BwHPC, organización alemana que coordina proyectos de investigación, advirtió que 5 de sus clústers de alto rendimiento tuvieron que apagarse debido a «incidentes de seguridad». En este caso, las máquinas afectadas eran superordenadores de la Universidad de Stuttgart, del Karlsruhe
Institute of Technology, de la Universidad de Ulm y de la Universidad de Tübingen.

Se conocieron más ataques a centros alemanes, como en la Facultad de Física de la Universidad Ludwig-Maximilians, en el Leibniz Computing Center (LRZ), instituto de la Academia de Ciencias de Baviera, y la Universidad Técnica de Dresde, que anunció que también había apagado su
supercomputadora Taurusm. También fue objetivo de esta campaña de ciberataques el Centro Suizo de Ciencias de la Computación.

Los ciberdelincuentes accedieron a los súper-pc mediante inicios de sesión SSHH

El Equipo de Respuesta a Incidentes de Seguridad Informática (CSIRT) para la Infraestructura de Red Europea (EGI), publicaron muestras de malware e indicadores de compromiso de red de algunos de estos incidentes.

Asimismo, las muestras de código malicioso fueron revisadas por
Cado Security. La compañía dijo que los atacantes parecen haber obtenido acceso a los grupos de supercomputadoras a través de credenciales SSH.

Las credenciales parecen haber sido robadas a miembros de las universidades que contaban con acceso a las supercomputadoras para ejecutar trabajos informáticos. Los inicios de sesión secuestrados de SSH pertenecían a universidades de Canadá, China y Polonia. Chris Doman, cofundador de Cado Security, indicó que una vez que los atacantes obtuvieron acceso a un nodo de supercomputación, utilizaron un exploit para la vulnerabilidad CVE-2019-15666 y así obtuvieron acceso como usuario y luego desplegaron una aplicación para extraer la criptomoneda Monero.

Cabe destacar que muchas de las organizaciones que fueron atacadas, estaban realizando investigaciones sobre el brote de COVID-19, lamentablemente este trabajo se ha visto frenado con el ataque y la inactividad de las máquinas.

Otros secuestros de supercomputadoras

Si bien es cierto, esta no es la primera vez que ocurre un incidente donde se descubre la instalación de un malware de cripto-minería en una supercomputadora. Sin embargo, y en esta ocasión han sido ciberdelincuentes los responsables de ataque. 

En incidentes anteriores, generalmente era un empleado quien instalaba el minero de criptomonedas, para su propio beneficio personal. Por ejemplo, en febrero de 2018, las autoridades rusas arrestaron a ingenieros del Centro Nuclear Ruso por usar la supercomputadora de la agencia, para extraer criptomonedas.

Un mes después, los funcionarios australianos comenzaron una investigación sobre un caso similar en la Oficina de Meteorología, donde los empleados utilizaron la supercomputadora de la agencia para minar criptomonedas.