Американская компания по информационной безопасности Cado Security сообщила, что на прошлой неделе был заражен ряд суперкомпьютеров в Европе. Взломы были зафиксированы в Великобритании, Германии, Швейцарии и Испании, причем не одновременно — сообщения поступали на протяжении нескольких дней.
Первое сообщение о взломе появилось у Университета Эдинбурга, который управляет суперкомпьютером ARCHER. Организация сообщила об «эксплуатации системы безопасности на узлах входа ARCHER», отключила систему для расследования и сбросила пароли, чтобы предотвратить дальнейшие вторжения. Организация, координирующая исследовательские проекты на суперкомпьютерах в федеральной земле Баден-Вюртемберг (Германия), также объявила о том, что пять ее высокопроизводительных вычислительных кластеров пока отключены из-за «проблем с безопасностью».
По данным Cado Security хакеры получили доступ к суперкомпьютерам, используя скомпрометированные пользовательские данные. Согласно опубликованному отчету, атаки проводились из университетов в Китае и Польше. При этом во всех случаях использовались схожие имена файлов вредоносных программ. Соучредитель Cado Security Крис Доман заявил, что это была централизованная атака одной хакерской группы.
Сначала хакеры получали доступ к суперкомпьютеру узлу, после чего использовали эксплойт для уязвимости CVE-2019-15666. Затем, получив доступ к корневой системе, они разворачивали приложение для майнинга криптовалюты Monero (XMR).
В Cado Security отметили, что многие пострадавшие от взлома организации занимались научными исследованиями вспышки пандемии COVID-19.