Des superordinateurs piratés à travers l’Europe pour miner des cryptomonnaies

Plusieurs supercalculateurs à travers l’Europe ont été infectés cette semaine par des logiciels malveillants d’extraction de cryptomonnaie. Ils ont été arrêtés afin d’enquêter sur ces intrusions.

Ces incidents de sécurité ont été signalés au Royaume-Uni, en Allemagne et en Suisse, tandis qu’une rumeur indique qu’une opération similaire aurait également eu lieu dans un centre de calcul haute performance situé en Espagne.

Le premier rapport d’attaque a été révélé lundi par l’Université d’Edimbourg, qui gère le superordinateur ARCHER. L’organisation a signalé une « exploitation de la sécurité sur les nœuds de connexion ARCHER », ayant entraînée l’arrêt du système ARCHER le temps de l’enquête et la réinitialisation des mots de passe SSH pour éviter de nouvelles intrusions.

Le bwHPC, l’organisation qui coordonne les projets de recherche sur les supercalculateurs de l’état du Bade-Wurtemberg, en Allemagne, a également annoncé lundi dernier que cinq de ses clusters de calcul haute performance devaient être fermés en raison de « problèmes de sécurité » similaires. Cela concernait :

• le supercalculateur Hawk du High-Performance Computing Center Stuttgart (HLRS) de l’Université de Stuttgart ;
• les clusters bwUniCluster 2.0 et ForHLR II au Karlsruhe Institute of Technology (KIT) ;
• le superordinateur bwForCluster JUSTUS chimie et science quantique à l’Université d’Ulm ;
• le supercalculateur bioinformatique bWForCluster BinAC de l’Université de Tübingen.

Les informations se sont poursuivies mercredi lorsque le chercheur en sécurité Felix von Leitner a affirmé dans un article de blog qu’un superordinateur installé à Barcelone, en Espagne, aurait également été touché par un problème de sécurité et arrêté en conséquence.

D’autres incidents ont fait surface le lendemain, jeudi. Le premier provenait du Leibniz Computing Center (LRZ), un institut de l’Académie bavaroise des sciences, qui a déclaré avoir déconnecté un cluster informatique d’Internet à la suite d’une faille de sécurité.

L’annonce de LRZ a été suivie plus tard dans la journée par une autre du Julich Research Center dans la ville de Julich, en Allemagne. Les responsables ont déclaré qu’ils devaient arrêter les superordinateurs JURECA, JUDAC et JUWELS à la suite d’un « incident de sécurité informatique ». Il en va de même pour l’Université technique de Dresde, qui a annoncé qu’elle devait également fermer son supercalculateur Taurus.

De nouveaux incidents ont également été révélés samedi. Le scientifique allemand Robert Helling a publié une analyse sur le malware qui infectait un cluster de calcul haute performance à la Faculté de physique de l’Université Ludwig-Maximilians de Munich, en Allemagne.

Le Centre suisse de calcul scientifique (CSCS) de Zurich, en Suisse, a également fermé l’accès externe à son infrastructure de superordinateurs à la suite d’un « cyber-incident » et « jusqu’à ce qu’il ait rétabli un environnement sûr ».

Les attaquants ont pu accéder via des connexions SSH compromises

Aucune des organisations ci-dessus n’a publié de détails sur les intrusions. Cependant, plus tôt dans la journée, la CSIRT (Computer Security Incident Response Team) de l’European Grid Infrastructure (EGI), une organisation européenne qui coordonne la recherche sur les supercalculateurs à travers l’Europe, a publié des échantillons de logiciels malveillants et des indicateurs de compromission réseau pour certains de ces incidents.

Les échantillons de logiciels malveillants ont été examinés plus tôt dans la journée par Cado Security, une entreprise de cybersécurité basée aux Etats-Unis. La société a déclaré que les attaquants semblaient avoir accédé aux clusters de superordinateurs via des informations d’identification SSH compromises.

Les identifiants semblent avoir été volés aux membres de l’université qui ont eu accès aux superordinateurs pour exécuter des tâches informatiques. Les connexions SSH détournées appartenaient à des universités au Canada, en Chine et en Pologne.

Chris Doman, cofondateur de Cado Security, a déclaré à ZDNet aujourd’hui que bien qu’il n’y ait aucune preuve officielle confirmant que toutes les intrusions ont été effectuées par le même groupe, des éléments tels que des noms de fichiers de logiciels malveillants similaires et des indicateurs de réseau suggèrent que cela pourrait être le fait d’un même acteur malveillant.

Selon l’analyse de Doman, une fois que les attaquants ont eu accès à un superordinateur, ils auraient utilisé un exploit pour la vulnérabilité CVE-2019-15666 afin d’accéder au niveau de privilège root, puis déployé une application qui minait la cryptomonnaie Monero (XMR).

Pour aggraver les choses, de nombreuses organisations affectées cette semaine ont annoncé au cours des semaines précédentes qu’elles accordaient la priorité à la recherche sur l’épidémie de Covid-19. Ces recherches ont probablement été entravée en raison de l’intrusion et des temps d’arrêt ultérieurs.

Pas le premier incident du genre

Ces incidents ne sont pas la première fois qu’un logiciel malveillant d’extraction de cryptomonnaie est installé sur un superordinateur. Cependant, c’est la première fois que des attaquants extérieurs sont à l’origine de l’attaque. Lors d’incidents précédents, c’était généralement des employés qui avaient installé le mineur de cryptomonnaie, pour leur propre gain personnel.

Par exemple, en février 2018, les autorités russes ont arrêté des ingénieurs du Centre nucléaire russe pour avoir utilisé le supercalculateur de l’agence pour miner des cryptomonnaies. Un mois plus tard, des responsables australiens ont ouvert une enquête sur un cas similaire au Bureau of Meteorology, où des employés auraient utilisé le superordinateur de l’agence pour miner des cryptomonnaies.

Source : ZDNet.com