Assiste-t-on à une opération cybercriminelle d’envergure ciblant les supercalculateurs ?
De nombreuses institutions académiques européennes ont rapporté, ces derniers jours, des incidents de sécurité dans ce sens.
L’université d’Édimbourg avait donné l’alerte lundi 11 mai. À la suite d’accès indésirables sur son superordinateur ARCHER, elle l’a isolé du réseau. Il est question d’un problème « sévère » qui nécessitera entre autres d’invalider tous les mots de passe et clés SSH.
Ce même jour, le groupement allemand bwHPC a fait état de la coupure forcée de plusieurs systèmes dans le land du Bade-Wurtemberg :
Mercredi 13, le chercheur en sécurité Felix von Leitner évoquait de probables incidents à Barcelone.
Il mettait aussi, sur la liste des victimes, le Centre de recherche de Juliers (Rhénanie-du-Nord-Westphalie)… qui allait confirmer le lendemain. Trois de ses systèmes (JURECA, JUDAC et JUWELS) sont indisponibles.
Autres victimes en Allemagne :
L’université Louis-et-Maximilien de Munich est également touchée, à en croire Robert Helling.
Ce physicien a analysé les traces que l’attaque semble laisser sur les machines infectées. En l’occurrence, plusieurs fichiers localisés dans le dossier de polices de caractères /etc/fonts et disposant des droits root.
D’après l’EGI (European Grid Infrastructure), ces fichiers cachent un programme de minage de la cryptomonnaie Monero.
L’organe chargé de la coordination de la grille de calcul européenne ne parle pas d’un, mais de deux incidents, « peut-être liés ».
D’un côté, celui dont Robert Helling se fait l’écho. De l’autre, une attaque impliquant également un mineur de Monero et qui a fait des victimes en Amérique du Nord comme en Chine.
L’entreprise américaine Cado Security estime que l’une et l’autre attaque reposent sur des identifiants SSH volés. Vraisemblablement sur des réseaux en Pologne (université de Cracovie) et en Chine (université Jiao-tong de Shanghai).
L’exploit utilisé pour passer en root semble impliquer la faille CVE-2019-15666. Elle est présente dans le noyau Linux, jusqu’à la version 5.0.19. Le souci : une mauvaise validation de répertoire qui peut entraîner un accès hors limites.
Le Centre suisse de calcul scientifique s’est lui aussi déclaré victime. Tout en assurant que les prévisions météo, réalisées en interne, ne seraient pas affectées.
Photo d’illustration © Carlos Jones/ORNL / licence CC by 2.0
Dans un avis consultatif, l'Autorité de la concurrence a identifié les risques concurrentiels liés à…
OpenAI signe un « partenariat de contenu stratégique » avec Time pour accéder au contenu…
Au lendemain du rejet de sa proposition de restructuration, David Layani annonce sa démission du…
Après un an, Hugging Face a revu les fondements de son leaderboard LLM. Quels en…
Mozilla commence à expérimenter divers LLM dans Firefox, en parallèle d'autres initiatives axées sur l'intégration…
VMware met VCF à jour pour y favoriser la migration des déploiements qui, sur le…