- Les incidents liés aux super-ordinateurs dans plusieurs pays européens révèlent qu’un logiciel malveillant a été utilisé pour exploiter sa puissance de calcul afin de miner Monero
- Des attaquants potentiels ont utilisé des hôtes proxy Monero mining avec une configuration permettant d’éviter la détection.
Plusieurs rapports de diverses institutions européennes révèlent des incidents liés à l’extraction illégale de la crypto-monnaei Monero à l’aide de logiciels malveillants pour infecter les superordinateurs. Ces incidents se sont produits dans différents pays européens. Parmi les pays concernés, on trouve le Royaume-Uni, l’Allemagne, la Suisse et l’Espagne. Les similitudes entre les incidents indiquent aux chercheurs que toutes les attaques pourraient être liées à un seul groupe ou à une seule entité. Toutefois, il n’existe pas de preuve définitive à cet égard.
Défaillances de la sécurité dans les mines de Monero
Le premier rapport faisant référence à un incident impliquant un malware minier Monero a été publié par le service national de superinformatique britannique, ARCHER. Publié le 11 mai, le rapport annonce la désactivation de l’accès au système ARCHER. La désactivation était initialement due à l’exploitation d’une vulnérabilité dans les nœuds de connexion d’ARCHER, comme l’indique le rapport.
Dans les entrées suivantes et après des enquêtes plus exhaustives, il a été possible de conclure que le problème était lié à une série d’incidents qui ont affecté les systèmes de plusieurs institutions européennes. Un rapport de bwHPC Allemagne a également annoncé le 11 mai qu’il désactiverait les systèmes de calcul haute performance (HPC) suivants : bwUniCluster 2.0, ForHLR II, bwForCluster JUSTUS, bwForCluster BinAC et Hawk.
Un autre rapport du Centre national de superinformatique de Zurich a confirmé la théorie initiale des chercheurs. Publié quelques jours plus tard, le 16 mai, le rapport indique que divers centres de données universitaires et systèmes HPC dans le monde « luttent contre les cyber-attaques et doivent donc être désactivés ». Comme dans les rapports précédents, il n’est pas fait mention de l’exploitation minière de Monero dans ce dernier. Peut-être dans l’attente d’une enquête plus approfondie.
Cependant, le co-fondateur de Cado Security, Chris Doman, a publié les résultats de l’enquête menée par son entreprise sur ces incidents. Cado Security affirme que les incidents sont liés car ils font tous référence à un fichier portant le même nom, « fonts ». Ce fichier est utilisé comme chargeur en conjonction avec un autre fichier appelé « low » qui est utilisé pour nettoyer les logs et cacher les indices sur les attaques. Le rapport du Cado indique que
(los atacantes) Ils utilisent peut-être une ou plusieurs méthodes pour l’escalade des privilèges, peut-être CVE-2019-15666. En ce moment, le centre national britannique ARCHER est hors ligne car il a subi une exploitation des racines.
Les acteurs proviennent des adresses IP suivantes, 202.120.32.231 et 159.226.161.107, vous ne pouvez pas deviner de quel pays elles proviennent.
Ces mêmes adresses IP ont été enregistrées dans le cadre d’autres incidents survenus dans les universités Jiaotong de Shanghai et dans le réseau scientifique et technologique chinois. Cado a également pu conclure que les fichiers « Uploaded » et « Cleaner » ont été téléchargés vers VirutsTotal à partir des pays européens mentionnés.
De même, un rapport séparé de l’équipe européenne de réponse à la sécurité informatique indique que les attaquants utilisent des identifiants SSH compromis pour sauter entre différentes victimes. Les attaquants convertissent ensuite l’unité centrale qu’ils infectent avec le logiciel malveillant en l’un des différents rôles énumérés ci-dessous :
Hôtes d’extraction XMR (exécution d’un binaire XMR caché)
Hôtes XMR-proxy ; l’attaquant utilise ces hôtes à partir des hôtes XMR mining, pour se connecter à d’autres hôtes XMR-proxy et éventuellement au serveur minier réel.
Hôtes proxy SOCKS (exécutant une instance microSOCKS sur un port élevé) ; l’attaquant se connecte à ces hôtes via SSH, souvent depuis Tor. MicroSOCKS est également utilisé à partir de Tor.
Hôtes du tunnel (tunneling SSH) ; L’attaquant se connecte via SSH (compte compromis) et configure le NAT PREROUTING (généralement pour accéder à des espaces IP privés).
I took a look at the recent attacks against Supercomputers and found some more details on attacks against Supercomputers in the UK, US, Germany and elsewhere -> https://t.co/EXdxB2jPI1 pic.twitter.com/3gOaLKCfyQ
— chris doman (@chrisdoman) May 16, 2020
Au moment de la publication, XMR se négocie à 66,24 $ avec des gains de 1 % au cours des dernières 24 heures, suite au sentiment général du marché qui a enregistré de légers gains au cours de la dernière journée.
