Esta semana varios superordenadores dedicados a computación ubicados en Europa han sido hackeados. Concretamente, han sido infectadas con un malware que se basa en el minado de criptomoneda, lo que ha provocado que estos se cierren. Un centro de cómputo de alto rendimiento español también ha sido afectado.
Se ha informado, según adelanta ZDNet, que los incidentes se han sucedido en Reino Unido, Suiza y Alemania. También se tienen sospechas de una intrusión similar en dicho centro español. Estos informes se han sucedido a lo largo de la semana, y se han estado registrando paulatinamente.
Los indicios que apuntan al ataque en territorio español provienen del investigador de seguridad Felix von Letiner, que afirmó en su blog que un superordenador alojado en Barcelona también sufrió un problema de seguridad, y que se cerró en consecuencia.
Superordenadores hackeados
El primer ataque, según los informes, salió a la luz el lunes desde la Universidad de Edimburgo. Detalla que se dirigió al superordenador ARCHER, informando de una "explotación de seguridad en los nodos de inicio de sesión ARCHER". El centro apagó el sistema para investigar y restableció las contraseñas SSH para evitar más ataques.
El bwHPC, la organización que coordina proyectos de investigación realizados en superordenadores en el estado de Baden-Württemberg, Alemania, también anunció un ataque. Concretamente, 5 de sus clústeres informáticos de alto rendimiento tuvieron que cerrarse debido a "incidentes de seguridad".
Mientras que el informe de Felix von Letiner informaba sobre la situación española el miércoles, el jueves también registró algunos incidentes. El primero vino del centro Leibniz Computing Center (LRZ), un instituto de la Academia de Ciencias de Baviera. El centro aseguró que se desconectó un clúster de Internet después de una brecha de seguridad.
El mismo día, el Centro de Investigación Julich alemán también dio aviso de un ataque sufrido a sus superordenadores JURECA, JUDAC y JUWELS. Por si fuera poco, hoy sábado también se publicó un análisis sobre malware publicado por el científico alemán Robert Helling que avisaba de un clúster informático infectado en la superordenador de la Facultad de Física de la Universidad Ludwig-Maximilians en Munich, Alemania.
Minado de criptomoneda
Ha sido hoy el "Computer Security Incident Response Team (CSIRT) de la Infraestructura de Red Europea (EGI) la que ha publicado muestras del malware que infectó estos ordenadores. Esta oganización paneuropea coordina la investigación sobre superordenadores existentes en toda Europa.
Estas muestras fueron revisadas, a su vez, por Cado Security, una empresa dedicada a ciberseguridad oriunda de Estados Unidos. La firma ha asegurado que los atacantes parecen haber obtenido acceso a estos grupos de superordenadores a través de credenciales SSH comprometidas.
Estas credenciales podrían haber sido robadas de los miembros de las universidades afectadas, a quienes se les dio acceso en algún momento a los superordenadores para realizar trabajos con ellos. De hecho, los inicios de sesión secuestrados pertenecían a universidades de sitios muy ispares, como Canadá, China o Polonia.
Este ataque llega en un momeno delicadísimo, ya que muchas de estas organizaciones habían prometido priorizar las investigaciones realizadas con sus superordenadores sobre el brote del COVID-19. La capacidad de cómputo de estos equipos puede ser vital para la investigación contra esta enfermedad, y este ataque podría retrasar las investigaciones debido al tiempo de inactividad provocado por el cierre de los superordenadores.
Desde luego no es la primera vez que un hacker intenta colar un malware de criptomoneda en un superordenador, pero sí es la primera vez que atacan a una red completa de estas máquina. Además, no se robaban credenciales, sino que se sobornaban trabajadores.
En 2018 autoridades rusas arrestaron a ingenieros del Russian Nuclear Center por usar superordenadores del organismo para extraer criptomonedas. Hubo un caso similar en la Bureau of Meteorology, la oficina de metereología australiana, donde los empleados usaron su superordenador para minar criptomoneda. Esta es la primera vez que se recurre a un robo de credenciales de esta clase, sobre todo en conjuno.