Superkomputery w Europie skutecznie zaatakowane żeby kopać kryptowalutę. Dostają się m.in. z Polski (Kraków)

Ostatnio pewne incydenty bezpieczeństwa zgłosiły centra superkomputerowe w Niemczech, Wielkiej Brytanii, czy Szwajcarii. Jest też mowa np. o Hiszpanii.

Z kolei ciekawa informacja pojawiła się niedawno na stronach EGI (European Grid Infrastructure). Opisane są tutaj dwa ostatnie incydenty – ze wskazaniem na cel: kopanie kryptowaluty na superkomputerach:

A malicious group is currently targetting academic data centers for CPU mining purposes. The attacker is hoping from one victim to another using compromised SSH credentials.

Co ciekawe w tzw. indicators of compromise podaje się m.in. dwa hosty z Polski: andromeda.up.krakow[.]pl oraz vega.up.krakow[.]pl. Prawdopodobnie hosty te używane są (czy ewentualnie były) przez atakujących do atakowania kolejnych centrów.

Przynajmniej jako jeden z celów EGI podaje kopanie kryptowaluty Monero (XMR) na superkomputerach (w jednym przypadku stwierdzono odpalenie stosownego procesu w cronie, w nocy – być może żeby uniknąć wykrycia). Wśród ofiar wymienia się różne centra w Europie, Chinach czy Ameryce Północnej (choć nie jest dokładnie sprecyzowane, które stanowią tylko “przesiadkę-proxy” dla atakującego, a które udostępniają im cenne zasoby obliczeniowe).

Trwa jeszcze analiza jak dochodzi do infekcji (część ofiar wykryło podmienione binarki ssh, w użyciu też jest rootkit ukrywający działania napastników).

–ms