- Incidentes con supercomputadoras en varios países de Europa revelan que se ha usado malware para aprovecharse de su poder computacional para minar Monero.
- Posibles atacantes habrían usado proxy hosts para minería de Monero con una configuración para evitar detección.
Una serie de reportes de varias instituciones europeas revelan incidentes relacionados a minería ilegal de la criptomoneda Monero usando malware para infectar supercomputadoras. Los incidentes ocurrieron en distintos países de Europa. Entre los países afectados está el Reino Unido, Alemania, Suiza, España. Similitudes entre los incidentes indican a los investigadores que se podría tratar de un solo grupo o entidad. Sin embargo, no hay evidencia definitiva en ese aspecto.
Fallas de seguridad por minería de Monero
El primer reporte que se refirió a un incidente relacionado con el malware para minar Monero, fue publicado por el Servicio Nacional de Supercomputación del Reino Unido, ARCHER. Publicado el 11 de mayo, el reporte anuncia la desactivación del acceso al sistema ARCHER. La desactivación se debió inicialmente a una explotación de una vulnerabilidad en los nodos de login de ARCHER, como afirma el reporte.
En entradas posteriores y después de investigaciones más exhaustivas, se pudo concluir que el problema estaba relacionado a una serie de incidentes que afectaron los sistemas de varias instituciones europeas. En ese sentido, un reporte del bwHPC de Alemania también anunció el 11 de mayo que desactivaría los siguientes sistemas de High Performance Computing (HPC): bwUniCluster 2.0, ForHLR II, bwForCluster JUSTUS, bwForCluster BinAC, y Hawk.
Otro reporte del Centro Nacional de Supercomputación de Zurich confirmó la teoría de los investigadores iniciales. Publicado días más tarde, el 16 de mayo, el reporte afirma que varios centros de datos academicos y sistema HPC del mundo estaban «luchando contra ciberataques y, por lo tanto, tuvieron que desactivarse». Igual que en los reportes anteriores, en este último no se hace mención de minería de Monero. Posiblemente en espera de una investigación más completa.
Sin embargo, el co-fundador de Cado Security, Chris Doman, publicó los resultados de la investigación de su empresa sobre los incidentes. Cado Security afirma que los incidentes están relacionados debido a que en todos se hace referencia a un archivo con el mismo nombre, «fonts». Este archivo se usa como cargador en conjunto con otro archivo llamado «low» que se usa para limpiar los registros y esconder pistas sobre los ataques. El reporte de Cado afirma (traducido libremente):
(los atacantes) tal vez están usando uno o más métodos para la escalada de privilegios, posiblemente CVE-2019-15666. En este momento la instalación nacional del Reino Unido ARCHER está fuera de línea ya que han sufrido una explotación de raíz.
Los actores provienen de las siguientes direcciones IP, 202.120.32.231 y 159.226.161.107, no se adivina de qué país provienen.
Estas mismas direcciones de IP fueron registradas como parte de otros incidentes en las universidades de Shanghai Jiaotong y la red de Ciencia y Tecnología de China. Cado también pudo concluir que los archivos de «Cargado» y «Limpiador» fueron subidos a VirutsTotal desde los países europeos mencionados.
De igual manera, un reporte separado del Equipo de Respuesta Europeo para la Seguridad Computacional afirma que los atacantes usan credenciales SSH comprometidas para saltar entre diferentes víctimas. Luego los atacantes convierten el CPU que infectan con el malware a uno de diferentes roles mencionados a continuación (traducido libremente):
Anfitriones de minería XMR (ejecutando un binario XMR oculto)
Anfitriones XMR-proxy ; El atacante utiliza estos anfitriones de los anfitriones mineros XMR, para conectarse a otros anfitriones XMR-proxy y eventualmente al servidor minero real.
Anfitriones proxy SOCKS (ejecutando una instancia microSOCKS en un puerto alto) ; El atacante se conecta a estos anfitriones vía SSH, a menudo desde Tor. MicroSOCKS también se usa desde Tor.
Anfitriones de túnel (túneles SSH) ; El atacante se conecta vía SSH (cuenta comprometida) y configura NAT PREROUTING (típicamente para acceder a espacios IP privados).
I took a look at the recent attacks against Supercomputers and found some more details on attacks against Supercomputers in the UK, US, Germany and elsewhere -> https://t.co/EXdxB2jPI1 pic.twitter.com/3gOaLKCfyQ
— chris doman (@chrisdoman) May 16, 2020
Al momento de publicación, el XMR se comercia por $66,24 con ganancias del 1% en las últimas 24 horas, siguiendo el sentimiento general del mercado que registra ganancias ligeras en el último día.
