De plusieurs superordinateurs en Europe contribuant aux recherches sur la COVID-19 ont été la cible d'attaques de cryptominage cours de la semaine dernière. Les rapports sur ces attaques ont commencé à affluer lundi dernier, lorsque des superordinateurs au Royaume-Uni et en Allemagne ont été parmi les premières victimes.
Lundi dernier, le service national de superinformatique britannique ARCHER a annoncé qu'il avait désactivé l'accès à son système suite à l'exploitation de ses nœuds de connexion. L'incident fait l'objet d'une enquête. Selon l'avis publié sur le site web de l'organisation, toutes les clés Secure Shell (SSH) et les mots de passe ARCHER seront réécrits et ne seront plus valables. « Lorsqu’ARCHER sera remis en service, tous les utilisateurs devront utiliser deux identifiants pour accéder au service : une clé SSH avec une phrase de passe et leur mot de passe ARCHER », précise le centre.
Pendant ce temps, le centre allemand de calcul haute performance du Bade-Wurtemberg indique sur son site web qu'il avait également été attaqué le même jour, ce qui l'a conduit à mettre hors ligne cinq de ses clusters en invoquant un incident de sécurité.
Ce n'est d’ailleurs pas le seul centre de supercalcul allemand à avoir été touché. Jeudi, le centre de supercalcul de Leibniz a annoncé qu'il en fermait temporairement l'accès, le centre de supercalcul de Jülich lui emboîtant le pas en mettant hors ligne ses systèmes JURECA, JUDAC et JUWELS en raison d'un « incident de sécurité ».
Selon BleepingComputer, pas moins de neuf supercalculateurs allemands pourraient avoir été victimes de ces attaques.
Ce n'est pas tout. Le Centre national suisse de superinformatique a également reconnu l'existence d'une attaque et a déclaré au cours de la fin de semaine que les centres universitaires en Europe et dans le monde entier luttaient contre les cyberattaques et que, puisqu'il avait également détecté des activités malveillantes, il coupait l'accès externe à son centre.
« Nous enquêtons actuellement sur l'accès illégal au centre. Nos ingénieurs travaillent activement à la remise en service des systèmes dès que possible afin de réduire au maximum l'impact sur nos utilisateurs », affirme le directeur du CSCS, Thomas Schulthess.
L'European Grid Infrastructure (EGI) a publié les conclusions de son équipe de réponse aux incidents de sécurité informatique (EGI-CSIRT), qui a enquêté sur deux des incidents de sécurité qui peuvent ou non être liés. Selon leur analyse, l’acteur malveillant a utilisé des références SSH compromises pour accéder aux systèmes et les utiliser pour miner Monero. EGI-CSIRT a souligné qu'il y a des victimes en Europe, ainsi qu'en Chine et en Amérique du Nord; cependant, il n'a pas été en mesure de confirmer comment les références SSH ont été volées.
Pour l'instant, il n’y a aucune certitude quant à savoir si ces attaques sont le fait d’un seul acteur malveillant ou de plusieurs organisations cybercriminelles. On peut cependant supposer qu'il existe un lien entre eux, puisque les cibles étaient similaires et que les attaques ont été perpétrées en l’espace d’une semaine.
Jake Moore, spécialiste de la cybersécurité d'ESET, apporte plus de précisions à propos des attaques : « Ce qui est intéressant, c'est qu'il semble que les pirates informatiques aient pour la première fois ciblé les supercalculateurs de manière totalement distante, car auparavant il y avait toujours eu un initié qui installait le logiciel malveillant de cryptominage utilisé pour l'attaque. Tous les identifiants de connexion SSH devront maintenant être réinitialisés, ce qui peut prendre un certain temps, mais c'est vital pour empêcher d'autres attaques. Une fois qu'une liste d'identifiants est compromise, c'est une course contre la montre que de les faire réinitialiser. Malheureusement, le délai est généralement suffisant pour que les acteurs de la menace puissent profiter du logiciel d'extraction ».
