Europese supercomputers gebruikt voor behandelen COVID gehackt door crypto miners

In geheel Europa zijn een serie supercomputers door een onbekende groep gehackt.

In de afgelopen week heeft een onbekende groep hackers in heel Europa supercomputers geïnfiltreerd en cryptogeld mining software geïnstalleerd.

Meer dan een dozijn supercomputers in het Verenigd Koninkrijk, Duitsland, Spanje en Zwitserland werden het slachtoffer van de hack. Als gevolg hiervan werden veel offline gehaald en volledig afgesloten.

Maandag publiceerde de Duitse bwHPC organisatie een bericht waarin werd aangegeven dat vijf van hun supercomputers waren gecompromitteerd vanwege deze cryptominer infectie:

“Beste gebruikers, vanwege een IT beveiligingsincident zijn de landelijke HPC systemen bwUniCluster 2.0, ForHLR II, bwForCluster JUSTUS, bwForCluster BinAC en Hawk momenteel niet beschikbaar. Onze experts werken momenteel aan een oplossing voor het probleem.” 

Er wordt aangenomen dat de ‘Archer’ het eerste systeem is waarop de hackers doelden. Dit is een supercomputer aan de Universiteit van Edinburgh die gebruikt werd om onderzoek naar de COVID-19 pandemie te doen.

De mensen achter de aanvallen wisten tot de supercomputers in kwestie toegang te verkrijgen door inloggegevens van netwerken te gebruiken die reeds in China en Polen waren gecompromitteerd.

Cado Security, een softwareplatform voor digitaal forensisch onderzoek en cyber veiligheidsincidenten, legde uit dat het gebruikelijk is voor gebruikers van verschillende krachtige computerfaciliteiten om eveneens een inlog toegang tot andere instellingen te hebben, wat het voor aanvallers gemakkelijker maakt om een systeem te kapen.

Bij twee incidenten vormde de groep hackers achter de aanvallen via een gecompromitteerd SSH account een verbinding met de supercomputers. Vervolgens gingen ze verder met het misbruiken van een kwetsbaarheid in de Linux kernel om zo een root toegang te krijgen en Monero of XMR software voor crypto mining te installeren.

Om te voorkomen dat de software ontdekt zou worden, hadden de hackers het dusdanig ingesteld om enkel ‘s nachts te werken.

De echte motivatie achter deze reeks aanvallen blijft onbekend. Hoewel de winst van de installatie van het Monero mining script het meest voor de hand liggende antwoord is, is het opmerkelijk dat een meerderheid van de betreffende supercomputers en systemen betrokken waren bij het onderzoek plus de analyse van het coronavirus. Sommigen zijn van mening dat de toegang tot deze informatie als belangrijkste reden gezien zou kunnen worden, waarbij de hacks door een nationale staat geregisseerd is.