Múltiples súpercomputadoras en Europa fueron hackeadas para minar Monero

***

Múltiples súpercomputadoras ubicadas en países de Europa fueron hackeadas para minar criptmonedas. Los equipos fueron infectados con un malware de minería para extraer Monero (XMR), motivo por el cual han sido apagadas para investigar los ataques.

Según informó el medio de noticias ZDNet, los incidentes de seguridad ocurrieron en el Reino Unido, Alemania y Suiza. Pero además, también se rumorea que una intrusión similar afectó a un centro de cómputo de alto rendimiento en España.

Los ataques parecen haber sido dirigidos principalmente a universidades, de acuerdo con el informe. Un portavoz de la Universidad de Edimburgo fue el primero en reportar el incidente el pasado día lunes 11 de mayo. ARCHER, una de las súpercomputadoras de investigación más poderosas del Reino Unido, ubicada en ese instituto académico, fue la víctima del ataque.

Súpercomputadoras de Europa son hackeadas

La Universidad de Edimburgo comunicó el incidente, que afectó a la comunidad académica en general en el Reino Unido y Europa en un reporte.

Debido a una explotación de seguridad en los nodos de inicio de sesión de ARCHER, se tomó la decisión de desactivar el acceso a ARCHER mientras se realizan más investigaciones. El equipo de EPCC Systems está trabajando con Cray para investigar este problema.

Como resultado, el equipo informó que se están reescribiendo todas las contraseñas y claves SSH existentes de ARCHER. Además, han emitido una fuerte advertencia contra los usuarios que inician sesión con credenciales existentes.

Para el momento de redacción de este artículo, el servicio aún se encontraba suspendido. Sin embargo, el equipo informó que continuaba trabajando en un diagnóstico y proporcionarían una actualización adicional el lunes 18 de mayo. Por su parte, comunicaron a la comunidad que no hay información que sugiera que ningún dato personal, cliente o investigación se hayan visto afectadas por el ataque.

Universidades bajo amenaza cibernética

Pero el mismo día lunes, bwHPC, la organización que coordina proyectos de investigación en supercomputadoras en Alemania, también anunció que cinco de sus grupos de servidores informáticos de alto rendimiento también sufrieron explotaciones similares. 

Tras los ataques que comprometieron a cinco súpercomputadoras, la organización decidió suspender los servicios. La súpercomputadora Hawk ubicada en la Universidad de Stuttgart, los equipos de bioinformática de la Universidad de Tübingen, fueron algunas de las que sufrieron el incidente de seguridad.

Durante los días siguientes más ataques continuaron afectando a instituciones en otras partes de Alemania. Asimismo, el miércoles el investigador de seguridad Felix von Leitner afirmó en una publicación de blog que una súpercomputadora alojada en Barcelona, ​​España, también había sido atacada. 

El Centro Suizo de Computación Científica (CSCS) en Zurich, Suiza, fue la víctima de hackeo más reciente. Como reportó el CSCS el pasado sábado 16 de mayo, el centro “detectó actividad maliciosa en relación con estos ataques“. Al igual que en los ataques dirigidos a las otras organizaciones, CSCS bloqueó el acceso a los sistemas e inició una investigación

Malware de cripto-minería Monero (XMR) en súpercomputadoras hackeadas

Hasta la fecha, ninguna de las organizaciones europeas que fueron víctimas del ataque de seguridad han publicado ningún informe detallado de lo ocurrido. Sin embargo, una investigación de la firma de ciberseguridad, Cado Security, con sede en Estados Unidos, ha revelado algunas pistas.

La compañía, que procedió a revisar muestras del malware, dijo que los atacantes parecen haber obtenido acceso a los grupos de supercomputadoras a través de credenciales SSH comprometidas.  Según informó ZDNet, los hackers  pudieron secuestrar las credenciales de miembros de universidades a quienes se les dio acceso a las para ejecutar trabajos informáticos.

El Equipo de Respuesta a Incidentes de Seguridad Informática (CSIRT) para la Infraestructura de Red Europea (EGI), una organización europea que coordina la investigación sobre supercomputadoras, publicó las muestras de malware e indicadores de compromiso de red de algunos de los incidentes.

De acuerdo con el informe de la compañía de seguridad los inicios de sesión robados pertenecían a universidades de Canadá, China y Polonia. El análisis también señaló que los hackers accedieron a un nodo, “parecen haber utilizado un exploit para la vulnerabilidad CVE-2019-15666 para obtener acceso a la raíz y luego desplegaron una aplicación que extraía la criptomoneda Monero (XMR)”.

Ataque dirigido a retrasar investigaciones de COVID-19

Si bien no es la primera vez que se instala un malware de cripto-minería en una súpercomputadora, los ataques dirigidos a múltiples equipos de alta capacidad en una misma semana resulta en una situación sin precedentes.

Cabe destacar que muchas de las organizaciones que dirigen las supercomputadoras hackeadas, habían anunciado que estaban priorizando la investigación sobre la pandemia de COVID-19, que ahora probablemente se ha visto afectada a raíz de los ataques y el tiempo de cierre operativo.

Para algunos medios de noticia del Reino Unido, este factor podría no ser una coincidencia. Sin embargo, los analistas no han podido demostrar que los ataques estén efectivamente dirigidos contra las investigaciones sobre el coronavirus. Kevin Curran, profesor de ciberseguridad en la Universidad de Ulster, comentó en este sentido:

No estoy seguro de si alguien puede decir con certeza si se trata de un ataque dirigido para filtrar datos relacionados con la investigación de COVID-19 o si fue un ataque para retrasar el progreso de la investigación en COVID-19 por parte de los actores estatales, o si fue simplemente un “ataque de escaneo indiscriminado” que ocurrió en la súpercomputadora.

El incidente se produce poco después de las advertencias de las autoridades de EE UU sobre los grupos cibernéticos que, presuntamente, trabajan en nombre del gobierno chino atacando sistemas y redes pertenecientes a organizaciones académicas, farmacéuticas y de atención médica involucradas en la investigación de COVID-19.

Artículos de interés

• Reportes aseguran que Kim Jong-Un desplegó un grupo de hackers en Corea del Norte para robar criptomonedas durante la pandemia

• Tres hackers detenidos en China por robo de criptomonedas de más de USD $ 87 millones

• Más de 35.000 computadoras en Latinoamérica fueron infectadas con malware de minería de Monero

• Estafadores se hacen pasar por la OMS para robar donativos Bitcoin 

Fuentes: Zdnet, ARCHER, Tech.newstatesman, DarkReading,

Versión de Hannah Estefanía Pérez / DiarioBitcoin

Imagen de Min Ciencia, en Wikimedia, bajo licencia Creative Commons

ADVERTENCIA: Este es un artículo de carácter informativo. DiarioBitcoin es un medio de comunicación, no promociona, respalda ni recomienda ninguna inversión en particular. Vale señalar que las inversiones en criptoactivos no están reguladas en algunos países. Pueden no ser apropiadas para inversores minoristas, pues se podría perder el monto total invertido. Consulte las leyes de su país antes de invertir.