Discussion :

[Blondelle Mélina]

Plusieurs superordinateurs à travers l'Europe ont été infectés par des logiciels d'extraction de cryptomonnaie,
des incidents ont été signalés au Royaume-Uni, en Allemagne et en Suisse

De nombreux superordinateurs en Europe ont été attaqués par des logiciels malveillants dans le but d'extraire les données de cryptomonnaie. Suite à cet incident de sécurité, ils ont été éteints pour des besoins d'enquête. Des atteintes à la sécurité ont été signalées au Royaume-Uni, en Allemagne, et en Suisse avec une infection suspecte signalée également en Espagne.

L'Université d'Edinburgh au Royaume-Uni fut le premier à signaler cet incident de sécurité et a rendu public son rapport sur l'état du supercalculateur ARCHER. Ce dernier a été fermé pour des raisons d'enquête et l'organisation avait prévu faire une nouvelle mise à jour le 18 mai. Le rapport dévoile « une exploitation de la sécurité des nœuds de connexion d'ARCHER » via des clés SSH compromises. Pour éviter de nouvelles intrusions, les mots de passe SSH ont été réinitialisés et donc, tous les utilisateurs devront à leur prochaine connexion sur ARCHER introduire obligatoirement une nouvelle clé SSH et un nouveau mot de passe.

De même, en Allemagne, des incidents de sécurité similaires ont été signalés sur cinq clusters de calcul haute performance et ont été fermés également pour des besoins d'enquête, cela fut révélé dans un communiqué publié par bwHPC, l'organisation qui coordonne les projets de recherche sur les supercalculateurs dans l'État du Baden-Württemberg.

Les supercalculateurs atteints en Allemagne sont notamment :

• le cluster bwUniCluster 2.0 ;
• le cluster ForHLR II à l’institut de technologie de Karlsruhe (KIT) ;
• le supercalcultateur Hawk du Centre de calcul haute performance de Stuttgart (HLRS) de l’Université de Stuttgart ;
• le bwForCluster JUSTUS, supercalculateur de chimie et de sciences quantiques de l’Université d’Ulm ;
• le supercalculateur bioinformatique bwForCluster BinAc de l’Université de Tübingen.

En Suisse, le centre de calcul scientifique (CSCS) de Zurich a aussi coupé l’accès externe à son infrastructure de superordinateurs suite à cette attaque jusqu'à ce qu'un environnement sûr soit rétabli, a annoncé l'organisation le 16 mai sur son site web. Toutefois, les prévisions météorologiques de MétéoSuisse qui sont également calculées au CSCS ne sont pas concernées par cette attaque, a ajouté l'organisation dans sa déclaration. Elle a également précisé être en contact avec MELANI, le centre national de cybersécurité pour avoir plus d'informations sur le sujet.

En Espagne, un incident de sécurité informatique similaire a été suspecté dans un superordinateur situé à Barcelone. Il a été fermé en conséquence.

Selon l’analyse de Chris Doman, cofondateur de Cado security, l'exploit utilisé pour passer en root semble impliquer la faille CVE-2019-15666. Elle est présente dans le noyau Linux jusqu’à la version 5.0.19. Le problème, une mauvaise validation de répertoire peut entraîner un accès hors limites.

Quelques semaines plutôt, de nombreuses organisations qui ont vu leurs supercalculateurs tomber en panne avaient annoncé qu’elles accordaient la priorité à la recherche sur l’épidémie de COVID-19. En l’absence de preuves officielles, l’on ne pourrait confirmer que toutes ces intrusions ont été perpétrées par un même groupe, a déclaré Doman et dans le même but c’est-à-dire ralentir les recherches autour de la pandémie de COVID-19. Néanmoins, des noms de fichiers malveillants similaires et des indicateurs de réseau suggèrent qu’il pourrait s’agir du même groupe d’attaquants, a ajouté Doman.

Sources : ARCHER, bwHPC

Et vous ?

Qu'en pensez-vous ?
Selon vous, ces intrusions ont-elles été effectuées par le même groupe d'attaquants ?

Voir aussi

CoronaCoin : les développeurs de cryptomonnaie s'emparent du coronavirus pour créer un nouveau jeton morbide, dont le prix augmentera avec le nombre de personnes qui tombent malades ou meurent

La cryptomonnaie de Facebook, une opportunité de 19 milliards de dollars de revenus
et une nouvelle affaire autre que la publicité, selon Barclays

Cryptomonnaie : le crash du marché laisse des entreprises en faillite dans son sillage, des développeurs étant privés de financement supplémentaire

[phil995511]

La faille a été fixée sous Debian depuis quelques temps déjà : https://security-tracker.debian.org/...CVE-2019-15666

Les admins de ces super calculateurs vraisemblablement accessibles depuis le net pourraient planifier des mises-à-jour du kernel suivies d'un reboot de temps à autre... cela éviterai de tels problèmes.

C'est quand même hallucinant de ce dire qu'à priori rien n'est fait à ce niveau !!

[micka132]

C'est quand même hallucinant de ce dire qu'à priori rien n'est fait à ce niveau !!

Pas si évident que ça, absolument rien ne garanti qu'une mise à jour ne va pas provoquer une régression sur les logiciels qui tournent dessus.

[CaptainDangeax]

Il semble également que l'accès ait été réalisé avec des clé SSH compromises. C'est encore une interface chaise clavier qui s'est fait pirater son poste de travail. Elles n'apprendront donc jamais !

[dourouc05]

Les admins de ces super calculateurs vraisemblablement accessibles depuis le net pourraient planifier des mises-à-jour du kernel suivies d'un reboot de temps à autre... cela éviterai de tels problèmes.

Ce genre de redémarrage est très difficile à prévoir sur une machine du genre. En général, pour utiliser un superordinateur, tu dois soumettre tes tâches à un ordonnanceur qui se charge d'utiliser au mieux la puissance de calcul disponible. Certains utilisent des tâches assez courtes (quelques heures, quelques jours), d'autres visent dans le long (plusieurs mois). À un moment donné, tu peux donc avoir, sur le superordinateur, une tâche de plusieurs mois qui s'achève sur une partie des machines et une autre qui vient à peine de démarrer sur d'autres… Ce n'est pas tant que la planification est complexe (slurm peut s'en occuper, par exemple : https://slurm.schedmd.com/reservations.html), c'est surtout qu'il faut éviter d'interrompre une tâche, sinon elle est bonne pour redémarrer à zéro.

Il y aurait la possibilité d'utiliser plusieurs version du noyau et d'autres logiciels, en faisant les mises à jour quand c'est possible, mais il faut encore tester ce scénario. Puis, en cas de problème qui cause une interruption de service de plusieurs heures ou jours, qui prend la responsabilité auprès des hôpitaux qui ne peuvent plus analyser le résultat d'IRM et d'autres examens dans les temps ?

[tanaka59]

Bonsoir,

Qu'en pensez-vous ?

Depuis quelques mois déjà on nous dit à longueur de temps que les hopitaux, les entreprises du secteurs médical se font attaquer ... Il manquait plus que les institutions de "calcul" dans le but de la recherche médical :/

Selon vous, ces intrusions ont-elles été effectuées par le même groupe d'attaquants ?

Oh oui c'est fortement possible. Se faire de l'argent sur le dos de malade, se faire de l'argent avec des rançongiciels, en paralysant les recherches et protocoles médicaux ... Même faire de la cryptomonnaie ... Pourquoi se priver d'une source de calcul puissante ?