Jest świat, w którym nawet najmocniejszy procesor nie robi wrażenia. To świat superkomputerów, które potrafią posiadać setki tysięcy rdzeni i niewyobrażalne ilości pamięci. Te komputery liczą poważne zadania – i kogoś bardzo interesują.
Gdy w lutym tego roku opisaliśmy udany atak na superkomputer Uniwersytetu Warszawskiego, dowiedzieliśmy się przy okazji, że śladów włamania szukano dopiero po otrzymaniu informacji o podobnych atakach na inne ośrodki. Okazuje się, że centra superkomputerów w Niemczech i Wielkiej Brytanii dopiero teraz wykryły analogiczne ataki na swoją infrastrukturę.
Włamania i tylne furtki
Dzięki jednemu z czytelników (dzięki, tomik) trafiliśmy na ciekawe artykuły w niemieckim Heise i brytyjskim The Register. Opisują one ataki bardzo podobne do tego, który zaczął się we wrześniu 2019 roku w Warszawie i trwał do lutego 2020, kiedy to użytkownicy superkomputerów w Interdyscyplinarnym Centrum Modelowania Matematycznego i Komputerowego otrzymali informacje, że ich dane mogły zostać wykradzione. Opisywaliśmy wówczas ten incydent, wspominając, że podobne ataki miały miejsce także w innych ośrodkach.
Dopiero kilka dni temu okazało się, że niedostępne z powodu incydentu bezpieczeństwa są superkomputery w Stuttgarcie (Hawk), Edynburgu (Archer, jeden z największych superkomputerów w UK), Jülich, Garching koło Monachium, Barcelonie i co najmniej kilkanaście innych superkomputerów w całej Europie. Według dostępnych informacji, w każdym z ujawnionych incydentów doszło do przejęcia uprawnień administratora głównej stacji obsługującej proces logowania i wszędzie zainstalowana została tylna furtka, przejmująca loginy i hasła innych użytkowników. Biorąc pod uwagę fakt, że badacze często mają konta w wielu różnych systemach, trudno się dziwić, że do infekcji doszło na globalną skalę.
Podobno pliki włamywacza można znaleźć w folderach /etc/fonts/.fonts i /etc/fonts/.low – jednak ich usunięcie nie zmienia faktu, że ktoś do komputera się włamał. Prawdopodobnie drogą włamania było przejęcie loginów i haseł (a czasem także kluczy) SSH uprawnionych użytkowników, a następnie wykorzystanie znanych błędów do poniesienia uprawnień na atakowanych serwerach.
To będzie ciekawa historia
Bez wątpienia za tymi ataki stoi bardzo, ale to bardzo ciekawa historia. Kto zdobył dostęp do wyników najciekawszych obliczeń prowadzonych w całej Europie? Kto monitorował prace badaczy od wielu miesięcy? Jakie dane wykradł? Pozostaje mieć nadzieję, że kiedyś poznamy prawdę.
PS. Jeśli znacie jakieś szczegóły tych incydentów, to zapraszamy do kontaktu, gwarantujemy anonimowość.
Komentarze
Rosyjski wywiad.
chinski, amerykanski, izrealski, polnocno koreanski, iranski, etc. wpisz sobie dowolny kraj.
Koparki coinow
Kto rżnie codziennie po portach.
Russia,China,USA.
Raczej: ciekawe ile koinów ktoś wykopał? :)
To mi bardzo przypomina historie przedstawione w dokumentach „The KGB, the Computer, and Me” oraz „In the realm of the hackers”. Wniosek, nie są to amatorzy. Wygląda na to, że te automaty z napojami na zdjęciu mają tylne wejście jak w HL2.
Chińczycy są ostatnio najbardziej znani z takich zagrań.
jak są znani to znaczy że to nieprawda
Przynajmniej jako jeden z celów EGI podaje kopanie kryptowaluty Monero (XMR) na superkomputerach (w jednym przypadku stwierdzono odpalenie stosownego procesu w cronie, w nocy – być może żeby uniknąć wykrycia).
https://sekurak.pl/superkomputery-w-europie-skutecznie-zaatakowane-zeby-kopac-kryptowalute-dostaja-sie-m-in-z-polski-krakow/
W nocy bo tańszy prąd
To był zwolniony pracownik.