Supercomputadores viram alvo de mineradores de criptomoeda
Malware que faz mineração de criptomoeda foi encontrado em supercomputadores da Alemanha, Reino Unido e Suíça
Atualmente, supercomputadores em várias partes do mundo estão sendo usados em uma missão nobre: ajudar nas pesquisas para combate à COVID-19. O problema é que algumas dessas poderosas máquinas foram “sequestradas” por um malware para mineração da criptomoeda Monero.
- Thunderbolt tem falha de segurança que permite invadir computador
- Zoom, Microsoft Teams e Google Meet viram alvos de e-mails falsos
Os detalhes sobre os ataques ainda são escassos, mas sabe-se que supercomputadores já foram afetados na Alemanha, Reino Unido e Suíça. Na Espanha, um centro de computação de alto desempenho também parece ter sido atingido, mas ainda não há confirmação.
Um dos supercomputadores afetados é o ARCHER, do Serviço Nacional de Supercomputação do Reino Unido. O acesso à máquina pelos pesquisadores foi indisponibilizado para novos trabalhos no último dia 11. A invasão vem sendo investigada e senhas de acessos via SSH estão sendo redefinidas.
Como nenhuma das organizações responsáveis pelos supercomputadores afetados revela detalhes sobre os incidentes, não está claro como as invasões aconteceram e se as ações estão sendo coordenadas por um único grupo — alguns indícios, como o padrão de nomes dos arquivos maliciosos detectados, sugerem que sim.
Uma análise da empresa de segurança Cado Security aponta que as invasões podem ter sido baseadas na exploração da vulnerabilidade CVE-2019-15666, que permite acesso root ao sistema operacional. A partir daí, os invasores teriam executado um malware cuja função principal é usar o supercomputador para mineração da criptomoeda Monero (XMR).
Em um dos casos, os analistas descobriram que a atividade de mineração estava programada para ser executada apenas durante a noite, provavelmente para diminuir as chances de a atividade ser descoberta.
Não é a primeira vez que um malware para mineração de criptomoeda é encontrado em um supercomputador. Porém, nos incidentes descobertos até então, o código malicioso geralmente era instalado por um funcionário com acesso direto à máquina.
Aparentemente, os acessos aos supercomputadores foram feitos a partir de credenciais de usuários legítimos obtidas por algum meio ainda não esclarecido. A vulnerabilidade CVE-2019-15666 teria sido explorada para permitir que, a partir dessas contas, os invasores tivessem acesso root ao sistema.
A mitigação do problema tem seguido um ritual padrão: os supercomputadores afetados estão sendo total ou parcialmente indisponibilizados para remoção do malware e redefinição de contas de usuários.
O problema é que esses procedimentos atrasam pesquisas em andamento. Algumas delas, como já dito, envolvem trabalhos relacionados à COVID-19.
Com informações: ZDNet, Bleeping Computer.
