Informe: los hackers apuntaron a las supercomputadoras en Europa para extraer Monero (XMR)

Las supercomputadoras de toda Europa fueron víctimas de un ataque de ciberseguridad generalizado y aparentemente coordinado la semana pasada, que se vio afectado por la instalación ilícita de malware centrado en la minería Monero (XMR).

Supercomputadoras alemanas más afectadas

Las supercomputadoras en Alemania, España y Suiza confirmaron infecciones a través de informes individuales la semana pasada. Todas las instancias tenían algunos detalles en común, como indicadores de red y nombres de archivos similares y un malware programado para extraer específicamente Monero, la 14a criptomoneda más grande del mundo por capitalización de mercado.

Sin embargo, Chris Doman de Cado Security señaló a la publicación tecnológica ZDNet que no existe evidencia definitiva de que los ataques estén relacionados con un actor / grupo, aparte de las similitudes mencionadas anteriormente.

La Universidad de Edimburgo, que dirige la supercomputadora ARCHER, fue la primera en informar una intrusión. Detectaron explotación en sus nodos de inicio de sesión, tal como se publica aquí, y rápidamente apagaron la computadora para evitar nuevos ataques. Todas las contraseñas de Secure Shell (SSH) se restablecieron como medida de seguridad adicional.

El bwHPC de Alemania anunció que cinco grupos de supercomputación fueron cerrados después de «incidentes de seguridad» similares, todos presentes en universidades centradas en la tecnología en el país, como la Universidad de Stuttgart y Tuebingen. Más tarde, el Centro de Computación de Leibniz y la Universidad Técnica de Dresde también confirmaron la desconexión de sus grupos de computadoras después de una «violación» de seguridad.

El Centro Nacional de Supercomputación de Suiza fue el último en confirmar una violación, declarando «acceso externo» a su infraestructura luego de un «incidente de ciberseguridad».

Ataque minero presumiblemente no activo

Notablemente, ninguno de los anuncios de la Universidad reveló detalles sobre la naturaleza exacta de las intrusiones, y no ha confirmado la instalación de malware de minería.

Pero según las muestras de malware, el Equipo de Respuesta a Incidentes de Seguridad Informática de Europa (CSIRT) publicó sus hallazgos y señaló que se implementaron «hosts de minería XMR» durante ciertas instancias de ataque.

El equipo se refirió además a los servidores proxy, señalando:

El atacante utiliza estos hosts de los hosts de minería XMR para conectarse a otros hosts de proxy XMR y, finalmente, al servidor de minería real.

En un caso, un bot de minería XMR se configuró para funcionar solo en horas nocturnas, presumiblemente para evitar la detección.

El análisis individual de Cado Security descubrió que los atacantes parecían explotar una vulnerabilidad «CVE-2019-15666» para obtener acceso a la raíz, después de lo cual probablemente se instaló una aplicación para extraer Monero.

La empresa, según su investigación, declaró que los atacantes podrían haber utilizado credenciales SSH comprometidas para obtener acceso a supercomputadoras, con los inicios de sesión pirateados que pertenecen a universidades en Polonia y China.

Eché un vistazo a los recientes ataques contra Supercomputadoras y encontré algunos detalles más sobre los ataques contra Supercomputadoras en el Reino Unido, EE. UU., Alemania y otros lugares -> https://t.co/EXdxB2jPI1 pic.twitter.com/3gOaLKCfyQ

– Chris Doman (@chrisdoman) 16 de mayo de 2020

En el momento de la publicación, ningún grupo se ha presentado públicamente asumiendo la responsabilidad del ataque. Las víctimas no informaron vulnerabilidades adicionales el 18 de mayo, lo que indica que el ataque puede no estar activo actualmente.

Mientras tanto, Monero parece ser un blanco fácil para los mineros ilícitos. Históricamente, la criptomoneda ha estado en el centro de muchos ataques de malware de minería, como CryptoSlate ha informado ampliamente en informes aquí y aquí.

¿Qué opinas de esta noticia? Por favor, comparta sus comentarios con nosotros.

‫comentarios

Deja una respuesta