Meerdere supercomputers in Europa zijn door criminelen misbruikt voor cryptomining. Op de computers werd software aangetroffen om cryptovaluta monero te minen. De supercomputers zijn na de beveiligingsincidenten stilgelegd. De criminelen kregen toegang via gekaapte ssh-logins.
Vorige week vonden beveiligingsincidenten plaats bij supercomputers in Duitsland, het VK en Zwitserland, en vermoedelijk ook in Spanje. Vorige week maandag kondigde een onderzoeksinstituut in de Duitse deelstaat Baden-Württemberg aan dat vijf van zijn clusters last hadden van beveiligingsincidenten.
Donderdag meldde het Leibniz Computing Center een computingcluster van internet te hebben afgesloten na een beveiligingsprobleem en vrijdag volgden drie supercomputers van het Duitse Julich Research Center en de Taurus-supercomputer van de Technische Universiteit Dresden. Zaterdag bleek bovendien een supercomputer van de Ludwig-Maximilians-universiteit in München getroffen te zijn.
Externe toegang supercomputer Zwitserland stopgezet
In Zwitserland is de externe toegang tot een supercomputer van het Swiss Center of Scientific Computations stopgezet na een cyberincident en in het VK heeft de University of Edinburgh zijn Archer-supercomputer uitgezet na misbruik van logins. Volgens beveiligingsonderzoeker Felix von Leitner is daarnaast een supercomputer in Barcelona getroffen.
Verband tussen incidenten niet bewezen
Een verband tussen de incidenten is nog niet bewezen, maar het Computer Security Incident Response Team voor de European Grid Infrastructure rapporteert over twee incidenten en claimt dat een criminele groepering zich op academische datacenters richt om cryptovaluta te delven en van het ene op het andere slachtoffer overspringt via buitgemaakte ssh-inloggegevens.
Software voor mining monero aangetroffen
Het responsteam heeft bij zijn onderzoek software om de cryptovaluta monero te minen aangetroffen en meldt dat is ingelogd via de netwerken van de Poolse Universiteit van Krakow. De Shanghai Jiaotong University en het China Science and Technology Network. De groepering gebruikt verschillende technieken om de activiteit te maskeren waaronder een Linux-rootkit en log-cleaners. Ook draaien ze de mine in sommige gevallen alleen ’s nachts. Volgens het team richt de groepering zich ook op instanties in China en Noord-Amerika.
Cado Security heeft een eerste korte analyse van de incidenten gepubliceerd en een werknemer van het Leibniz Supercomputing Center heeft enkele door de criminelen gebruikte bestanden ontleed.