Hackean los ordenadores más potentes de España para minar criptomonedas

Hackean los ordenadores más potentes de España para minar criptomonedas

Alberto García

Los superordenadores se han convertido en elementos vitales en países o bloques de países de todo el mundo para mejorar su competitividad internacional. España cuenta con uno de los superordenadores más potentes de Europa, ubicado en Barcelona, y que próximamente se situará entre los más potentes del mundo tras la inversión que realizará la UE en los próximos años. Ahora, este superordenador está entre los infectados por malware para minar criptomonedas.

Estos superordenadores son utilizados para hacer grandes cálculos, entre los que se encuentra por ejemplo realizar diseños para el sector aeronáutico y automovilístico, para predicciones de tiempo y clima, y uno de los más importantes actualmente: la medicina. Para el campo médico, los superordenadores pueden calcular todo tipo de variables para las moléculas que se utilizan en los fármacos y sus efectos en el cuerpo humano.

Malware por toda Europa para minar Monero en superordenadores

Sin embargo, parece que los hackers no están afectados por el coronavirus, y han decidido infectar esta semana superordenadores por toda Europa, situados en Reino Unido, Alemania, Suiza y España. El primer caso fue reportado desde Edimburgo el pasado lunes en su ordenador ARCHER, el cual decidieron apagar, además de resetear las contraseñas SSH.

marenostrum

La organización bwHPC, que coordina proyectos de investigación en Alemania en el estado federal de Baden-Wurtemberg, también anunció que cinco de sus superordenadores tuvieron que ser apagados por incidentes parecidos, situados éstos en la Universidad de Stuttgart, Instituto Tecnológico de Karlsruhe, Universidad de Ulm y Universidad de Tübingen.

El miércoles, un investigador de seguridad llamado Felix von Leitner afirmó que un superordenador del MareNostrum de Barcelona también se había visto afectado por un fallo de seguridad y tuvo que ser apagado. El jueves, también tuvieron que apagar un bloque de ordenadores en el Leibniz Supercomputing Centre (LRZ), junto con los superordenadores JURECA, JUDAC y JUWELS en Julich. En la universidad de Dresde también tuvieron que apagar el superordenador Taurus. Por último, también hubo que apagar ordenadores en la Universidad de Munich y en el Centro Suizo de Computación Científica, donde bloquearon cualquier acceso externo.

Nadie había publicado detalles sobre el acceso no autorizado, pero este fin de semana, el Equipo de Respuesta ante Emergencias Informáticas (CSIRT) para la Infraestructura Europea de Redes (EGI), que coordina los superordenadores a nivel europeo, ha publicado muestras del malware y los indicadores que demuestran que estamos infectados por el malware.

Unas contraseñas hackeadas, el punto de entrada del malware

Según las muestras del malware, el atacante habría obtenido acceso a través de unas credenciales SSH robadas a miembros de universidades de Canadá, China y Polonia. Hay evidencias también de que los ataques habrían sido perpetrados por los mismos usuarios, ya que había similitudes entre los nombres de archivos e indicadores de red de que se trataba del mismo atacante.

Una vez tenían acceso, los atacantes usaban un exploit para la vulnerabilidad CVE-2019-15666 para obtener permisos de root y lanzar una aplicación que minaba Monero, que es la mejor criptomoneda para minar aprovechando la potencia de una CPU. De momento no ha trascendido cuánto dinero habrían minado aprovechando la enorme potencia de estos ordenadores.

Muchas de las organizaciones que han tenido que apagar sus ordenadores esta semana habían anunciado que estaban volcando sus esfuerzo en investigación relacionada con el COVID-19, por lo que esto seguramente ha generado algún que otro retraso.