Molti computer ad alte performance, ma anche datacenter usati per progetti di ricerca sono stati spenti in vari stati europei a seguito di un incidente di sicurezza. La maggior parte sono situati in Germania, Svizzera e Regno Unito e l'incidente subìto ha reso impossibile continuare il proprio lavoro per centinaia di ricercatori. In realtà l'attacco si è prolungato nel tempo: pare infatti che alcuni supercomputer siano stati compromessi già all'inizio del Gennaio di quest'anno.
Per supercomputer si intendono sistemi con enorme potenziale di calcolo, usati principalmente in ambito scientifico per testare modelli matematici per complessi fenomeni fisici, per il design, per le simulazioni, per i test di laboratorio.
Le notifiche degli incidenti di sicurezza sono iniziate Lunedì: le prime vittime sono state nel Regno Unito e in Germania. Le notifiche avvisavano pubblicamente dello shut down dei sistemi a causa di attacchi informatici. Ad esempio ARCHER, il servizio di supercomputing del Regno Unito è divenuto inaccessibile ai ricercatori l'11 Maggio a causa di un exploit di sicurezza sul nodo di login. Il servizio è rimasto inaccessibile dall'esterno, quindi nessuno, neppure il tema di cybersicurezza governativo, vi ha accesso. L'intero set di password di Archer, ma anche le chiavi SSH dovranno essere resettate.
Il progetto Baden-Württemberg High Performance Computing (bwHPC), tedesco, ha annunciato lo stesso giorno un incidente di sicurezza che ha reso indisponibili 5 dei suoi cluster, uno utilizzato per applicazioni nel campo chimico, due usati dai ricercatori dell'Institute of Technology, uno in uso all'Università di Tubinga e uno, inaugurato solo a Febbraio, presso l'High-Performance Computing Center di Stuttgart.
Sabato invece il Swiss Center of Scientific Computations (CSCS) ha informato pubblicato che molti dei suoi sistemi high performance e datacenter accademici non erano più accessibili a causa di un attacco informatico.
Sabato invece il Swiss Center of Scientific Computations (CSCS) ha informato pubblicato che molti dei suoi sistemi high performance e datacenter accademici non erano più accessibili a causa di un attacco informatico.
Lo scopo? Il mining di criptovaluta
I dettagli riguardanti questa scia di attacchi sono pochi, ma l'European Grid Infrastructure ha pubblicato ieri alcuni dettagli informatici su almeno due degli attacchi che hanno colpito i data center di ricerca, confermando che sembrano essere opera dello stesso attaccante. In entrambi i casi sono state utilizzate credenziali SSH compromesse per poter passare da un host ad un altro. Lo scopo? Abusare del potenziale di calcolo estremamente elevato di queste super infrastrutture per estrarre cirptovaluta Monero. Non tutti gli host in realtà sono usati per il mining: alcuni funzionano da proxy per la connessione al server di mining.
Lo CSIRT ha confermato inoltre che l'attività dannosa di mining sembra programmata per avviarsi solo nelle ore notturne: un palese tentativo di evitare l'individuazione. Altri dettagli tecnici rivelati dallo CSIRT, compresi gli indicatori di compromissione, rivelano che vi sono supercomputer attaccati non solo in Europa, ma anche negli Stati Uniti e in Cina.
Il malware utilizzato nell'attacco
Non si sa molto del malware usato per l'attacco, a parte che un componente del malware è capace di ottenere privilegi di amministrazione e caricare altri programmi, mentre ve n'è anche un altro che ha il solo scopo di rimuovere le tracce dai dati di log. Attualmente sono in corso più indagini contemporaneamente.
Il problema delle criptovalute: il potenziale di calcolo
Il problema delle criptovalute è che le blockchain necessarie a produrle richiedono calcoli sempre maggiori, quindi sempre maggiore potenziale di calcolo. Il 2018 è stato l'anno in cui i cyber attaccanti hanno sperimentato maggiormente l'uso di vaste reti di pc e dispositivi privati per cercare di accumulare potere di calcolo, costruendo vaste botnet aventi come unico scopo il mining di criptovaluta. Il problema è che, per quanto numerosi, dispositivi come pc, tablet o IoT non soddisfano più la crescente fame di potere di elaborazione delle criptovalute. Ecco perché poi, nel 2019, gli attaccanti specializzati nel mining di criptovaluta hanno deciso di passare all'attacco delle aziende. L'attacco contro i supercomputer sembra essere l'apice di questa piramide di attacchi.
Nessun commento:
Posta un commento