Les superordinateurs européens victimes de piratage de crypto-mines
Ces derniers jours, des cybercriminels ont pris pour cible plusieurs superordinateurs en Europe. Ils ont utilisé des piratages de crypto-mines pour accéder à ces ordinateurs géants. L'extraction rapide de puissance de calcul volée n'est peut-être pas le motif principal.
Les piratages de crypto-mines ne sont pas nouveaux : en 2018 déjà, des cybercriminels ont tenté d'accéder à des superordinateurs et à leur puissance de calcul via des mises à jour Flash afin d'obtenir de la puissance étrangère pour miner des cryptomonnaies. Mais les attaques de la semaine dernière ont attiré l'attention des chercheurs en sécurité et des cyber-experts. Des logiciels malveillants ont été introduits lors des attaques contre le supercalculateur écossais ARCHER, contre cinq clusters de gros ordinateurs du Bade-Wurtemberg et contre un cluster de l'université Ludwig-Maximilian de Munich. Le nombre et le court laps de temps entre les accès non autorisés sont à eux seuls inhabituels. Mais ce qui soulève les vraies grandes questions, c'est le motif derrière l'acte : s'agissait-il de miner des cryptos avec des ordinateurs étrangers ? Ou les voleurs voulaient-ils accéder aux données de la recherche COVID-19 en cours?
Qui est derrière tout cela ?
Cado Security, un spécialiste de la cybersécurité et de la criminalistique numérique, a découvert que les attaques via des logins Secure Shell ont été lancées à partir de comptes universitaires. Les logins volés proviennent d'universités canadiennes, chinoises et polonaises. Le malware utilisé dans les piratages présentait des noms de fichiers identiques, la même vulnérabilité et des indicateurs techniques similaires. C'est pourquoi les experts de Cado Security pensent que toutes les attaques ont été menées par le même attaquant. Cependant, aucune preuve n'a été trouvée jusqu'à présent.
Des attaques similaires ont été récemment enregistrées en Suisse et en Espagne. Les enquêteurs ont constaté le même mode opératoire et le même logiciel malveillant. Selon le chercheur en sécurité Felix von Leitner, un superordinateur à Barcelone et le Swiss National Supercomputing Center à Lugano ont été attaqués. Tous les supercalculateurs ou clusters concernés ont été arrêtés par mesure de précaution pour une enquête plus approfondie. Bien que les attaques de ce type ne soient pas nouvelles, c'est la première fois que des cybercriminels pourraient en être à l'origine. Les cas précédents impliquaient toujours des membres du personnel qui avaient accès aux ressources des superordinateurs et les utilisaient à des fins personnelles.
Quelles sont les intentions?
Il est difficile de savoir non seulement s'il s'agit réellement d'une attaque orchestrée contre toutes les cibles, mais aussi quelles étaient les intentions des auteurs. Le "pourquoi" préoccupe les parties concernées bien plus que le "qui". D'une part, il pourrait s'agir de criminels qui voulaient tirer un profit personnel de cette solde. En effet, avec la puissance de calcul gigantesque des superordinateurs, le minage de crypto-monnaies est beaucoup plus rapide qu'avec des PC traditionnels. Mais Cado Security soupçonne un autre motif inquiétant : les cyber-experts trouvent suspect que les attaques aient eu lieu au moment même où de nombreuses entreprises mettaient la puissance de leurs superordinateurs à disposition de la lutte contre COVID-19. Les attaquants voulaient-ils accéder aux données de la recherche Corona ou même la saboter ? Quelle que soit la motivation, le moment est extrêmement mal choisi et donc extrêmement suspect.
Pour l'instant, aucune des organisations citées n'a publié de détails révélateurs sur les attaques. L'équipe de réponse aux incidents de sécurité informatique de l'European Grid Infrastructure - une organisation qui mène des recherches sur les superordinateurs européens - a publié quelques exemples des logiciels malveillants utilisés et les premières indications sur les attaques de réseau. Il n'est toutefois pas encore possible d'en tirer des conclusions définitives sur les auteurs ou leurs motivations. Selon Chris Doman, l'un des cofondateurs de Cado Security, les cybercriminels ont d'abord accédé aux superordinateurs via le nœud, y ont installé un vulnérabilité connue, puis ont installé une application qui extrait Monero, une cryptomonnaie.
Beaucoup de choses restent inexpliquées et encore très vagues. Mais une chose est sûre : ces attaques feront parler d'elles pendant longtemps. Que ce soit les crypto-traders, les cyber-experts ou les théoriciens du complot, tant que le motif possible derrière ces attaques n'aura pas été trouvé, les scénarios les plus fous se succéderont. Que pensez-vous : Quelqu'un a-t-il voulu s'enrichir à grande échelle en utilisant la puissance de calcul de quelqu'un d'autre pour miner des cryptos en secret ? Ou bien, à l'heure de COVID-19 et de la redistribution de la puissance de calcul des superordinateurs, y a-t-il quelque chose de plus important derrière tout cela ?
Quand je ne suis pas en train de me bourrer de sucreries, vous me trouverez dans un gymnase: je suis joueur et entraîneur passionné d’unihockey. Quand il fait mauvais, je bidouille mon PC assemblé par mes soins, des robots et autres jouets électriques. La musique m’accompagne de partout. Les sorties VTT en montagne et les sessions de ski de fond intenses font aussi partie de mes loisirs.
Du nouvel iPhone à la résurrection de la mode des années 80. La rédaction fait le tri.
Tout afficher