Przejdź na

Uniwersytet Warszawski ofiarą szpiegów? Ktoś przez 5 miesięcy podsłuchiwał hasła

Ktoś podsłuchiwał loginy i hasła użytkowników jednego z największych klastrów obliczeniowych w Polsce, należącego do Uniwersytetu Warszawskiego – pisze Zaufana Trzecia Strona. Atak trwał od września 2019 r., a więc przez okres co najmniej 5 miesięcy. Nikt w tym czasie nie domyślił się, że coś może być nie tak.

Superkomputer Okeanos, fot. YouTube (Comtegra.official)Superkomputer Okeanos, fot. YouTube (Comtegra.official)
Piotr Urbaniak
Piotr Urbaniak

Sprawa wyszła na światło dzienne dzięki pismu z 14 lutego, które otrzymał i ujawnił jeden z czytelników Zaufanej Trzeciej Strony. Firmy i inne podmioty gospodarcze, w związku z Ogólnym rozporządzeniem o ochronie danych (RODO), muszą informować użytkowników swoich usług o przypadkach naruszenia danych. Takie właśnie zawiadomienia zaczął przesyłać UW, a właściwie zarządzane przez niego Interdyscyplinarne Centrum Modelowania Matematycznego i Komputerowego, znane też pod akronimem ICM.

Jednostka dysponuje zaawansowaną infrastrukturą komputerową, w tym superkomputerem Okeanos (1084 węzły Cray XC40, każdy z dwoma 12-rdzeniowymi i 24-wątkowymi układami Intel Xeon i 128 GB RAM), który jest udostępniany poprzez sieć zewnętrznym instytucjom badawczym. Są to m.in. polskie centra meteorologiczne i zespoły akademickie działające w ramach grantów naukowych. Oto zaś kluczowy fragment rzeczonego pisma:

Prawdopodobnie w dniu 6.09.2019 nieznany sprawca dokonał przełamania zabezpieczeń informatycznych i uzyskał nieuprawniony dostęp do serwera należącego do ICM UW, znajdującego się pod adresem „hpc.icm.edu.pl” (dalej: serwer). Sprawca dokonał podmiany klienta i serwera SSH na zaatakowanym serwerze w celu gromadzenia danych użytkowników logujących się na serwerze w okresie od 6.09.2019 do 11.02.2020 r. Dane te były gromadzone na zaatakowanym serwerze w lokalnym zaszyfrowanym pliku, który następnie mógł zostać pobrany przez sprawcę. Zakres Państwa danych osobowych, który mógł zostać wykradziony przez sprawcę obejmuje: imię, nazwisko, login systemowy oraz hasło dostępowe do serwera.

Jak czytamy, 6 września 2019 r. nieokreślony włamywacz dostał się do serwera UW i podmienił serwer oraz klienta SSH, używane w infrastrukturze uwierzytelniania. Co następuje, przejął zapewne wszystkie wpisywane hasła i loginy, efektywnie uzyskując dostęp do kont użytkowników, a więc także reszty ich danych, z informacjami o zlecanych obliczeniach na czele.

Co to oznacza w praktyce? Osoby wykorzystujące superkomputer Okeanos przez około 5 miesięcy znajdowały się na widoku. Włamywacz ma ich nazwiska i dokładną wiedzę o prowadzonych badaniach. Nie wiadomo wprawdzie, jak zamierza te dane wykorzystać, ale łatwo dopisać sobie tutaj wątek szpiegowski. Nikt raczej nie uderzyłby w takim miejscu dla czystej zabawy.

Archaiczne mechanizmy obronne

Adam Haertle z Zaufanej Trzeciej Strony, wypowiadając się jako autorytet w dziedzinie cyberbezpieczeństwa, zwraca przy tym uwagę na archaiczny mechanizm logowania ICM, jakim niewątpliwie jest użycie klasycznego loginu i hasła po SSH. Dzisiaj we wrażliwych instytucjach stosuje się systemy kluczy, które efektywnie eliminują możliwość autoryzacji z poziomu niezaufanego komputera. UW ma taką opcję, ale nie jest ona domyślnie aktywna dla wszystkich kont. Haertle wyraża nadzieję, że chociaż administratorzy korzystali z kluczy, co jednak nie jest pewne.

Źródło artykułu: www.dobreprogramy.pl
Wybrane dla Ciebie
Możesz stracić fanpage. Wyjątkowo autentyczny atak
Możesz stracić fanpage. Wyjątkowo autentyczny atak
Fałszywy SMS. Oszuści podszywają się pod ZUS
Fałszywy SMS. Oszuści podszywają się pod ZUS
Żabka stworzy kartę płatniczą. Wybrała dużego partnera
Żabka stworzy kartę płatniczą. Wybrała dużego partnera
PKO Bank Polski wydał komunikat. Uważaj, kto dzwoni
PKO Bank Polski wydał komunikat. Uważaj, kto dzwoni
Nowości w mObywatelu. Dodano trzy funkcje
Nowości w mObywatelu. Dodano trzy funkcje
Ważny komunikat Alior Banku. Dotyczy wszystkich klientów
Ważny komunikat Alior Banku. Dotyczy wszystkich klientów
Uznański-Wiśniewski: To AI wybiera, co warto przesłać z orbity
Uznański-Wiśniewski: To AI wybiera, co warto przesłać z orbity
Czarna lista w telefonie. Jak zablokować niechciane połączenia?
Czarna lista w telefonie. Jak zablokować niechciane połączenia?
Nowość w Zdjęciach Google. Wygodniejsza edycja fotografii
Nowość w Zdjęciach Google. Wygodniejsza edycja fotografii
Atak hakerski na Booking. Zdobyli dane klientów
Atak hakerski na Booking. Zdobyli dane klientów
Luka 0-day w Adobe Reader. Wystarczy spreparowany PDF
Luka 0-day w Adobe Reader. Wystarczy spreparowany PDF
Zaktualizuj Windowsa: wydano kwietniowe poprawki
Zaktualizuj Windowsa: wydano kwietniowe poprawki
MOŻE JESZCZE JEDEN ARTYKUŁ? ZOBACZ CO POLECAMY 🌟