CryptoMining: attacco ai supercomputer europei
Attacchi di CryptoMining sono avvenuti in Svizzera, Germania, Spagna in Europa e Regno Unito: sono stati attaccati i supercomputers con malware volti ad ottenere benefici monetari. In Spagna è stato attaccato un centro di calcolo ad alte prestazioni.
Gli attacchi, che hanno preso di mira pricipalmente i centri universitari ,nel Maggio del 2020, si sono infiltrati laddove potevano trovare computer con grandi potenze di calcolo. L’Università di Edinburgo, infatti, è stata la prima a segnalare una violazioneal suo supercomputer ARCHER.
Tra le vittime: il Leibniz Computing Center, l’Accademia Bavarese delle Scienze, il Julich Research Center, l’Università Ludwig Maximilian, lo Swiss Center of Scientific Computations.
Già in passato si sono rilevati incidenti relativi al cryptomining, come il botnet Vollgar, che come ha rilevato SecurityAffairs hanno attaccato vari settori, tra cui sanità, aviazione, informatica e telecomunicazioni e istituti universitari. Il botnet, grazie ad un attacco brute force MS-SQL, “ha consentito agli hacker di seguire una serie di modifiche alla configurazione del database per consentire l’esecuzione futura dei comandi”.
Ma questa volta è diverso, perchè si tratta di un attacco su larga scala. Il CSIRT Europeo e la Cado Security in USA, hanno rilasciato i campioni del malware utilizzato. Cosa si è scoperto?
CryptoMining per la criptovaluta Monero
“Quando gli assalitori hanno ottenuto l’accesso ai nodi di supercomputer, hanno sfruttato un exploit per la vulnerabilità CVE-2019-15666. In questo modo hanno ottenuto l’accesso root alle macchine e installato un’applicazione per il mining della criptovaluta Monero (XMR).”
Chris Doman, Cado Security
Che l’infezione è avvenuta grazie al furto delle credenziali SSH di alcuni membri degli istituti con le quali gli hackers hanno potuto accedere ai cluster dei supercomputers. Una delle pratiche di attacco infatti è connettersi appunto connessi tramite le credenziali SSH compromess per configurare il NAT Prerouting oppure connettersi tramite SOCKS proxy hosts da TOR. Ma il CSIRT ha rilevato altre addizionali attacchi.
Curiosità: Mining di criptovalute, cosa ha scoperto CISCO
Cisco ha scoperto che tra i principali miner di criptovalute al mondo vi sono gli studenti dei campus universitari, che sfruttano l’elettricità gratuita dei campus.