Sai teatavaks, et sel nädalal nakatusid mitmed Euroopa regiooni eri riikide superarvutid krüptoraha kaevandamiseks mõeldud pahavaraga. Seda tüüpi intsidente on toimunud Ühendkuningriigis, Saksamaal, Šveitsis ja Hispaanias.
Esimene teade rünnakust tuli esmaspäeval Edinburghi ülikoolist, kus asub superarvuti ARCHER. Asutuse kodulehel avaldati vastav teade ja soovitus muuta kasutajate paroole ja SSH-võtmeid.
Samal päeval teatas superarvutite uurimisprojekte koordineeriv BwHPC organisatsioon vajadusest peatada juurdepääs viiele Saksamaal asuvale arvutiklastrile, et uurida "turvaintsidente".
Aruanded jätkusid kolmapäeval, kui turvauurija Felix von Leitner blogis, et Hispaanias Barcelonas suleti juurdepääs superarvutile küberjulgeolekuintsidendi uurimise ajaks.
Järgmisel päeval tulid sarnased teated Baieri Teaduste Akadeemia instituudist Leibnizi arvutuskeskusest, aga ka Saksamaa samanimelises linnas asuvast Jülichi uurimiskeskusest. Ametnikud teatasid, et juurdepääs superarvutitele JURECA, JUDAC ja JUWELS on "infoturbeintsidendi" tõttu suletud. Lisaks sulges Zürichis asuv Šveitsi teadusliku andmetöötluse keskus ka välise juurdepääsu oma andmetöötlusklastrite infrastruktuurile pärast infoturbeintsidenti "kuni turvaline keskkond on taastatud".
Ükski mainitud organisatsioon pole aset leidnud juhtumite kohta üksikasju avaldanud. Infoturbe intsidentidele reageerimise meeskond (CSIRT), mis koordineerib superarvutite uurimist üle Euroopa, on aga avaldanud pahavara näidised ja lisaandmed mõne juhtumi kohta.
Pahavara näidiseid uurisid infoturbe valdkonnas tegutseva Ameerika ettevõtte Cado Security spetsialistid. Ekspertide sõnul said ründajad ligipääsu superarvutitele läbi rikutud kasutajaandmete ja SSH-võtmete. Samuti arvatakse, et volikirjad varastati Kanada, Hiina ja Poola ülikoolide töötajatelt, kellel oli erinevate uuringute läbiviimiseks juurdepääs arvutusklastritele.
Kuigi puuduvad ametlikud tõendid selle kohta, et kõik rünnakud viis läbi üks häkkerite rühm, näitavad sarnased pahavara failinimed ja võrguidentifikaatorid, et rünnakute seeria viis läbi üks rühm. Cado Security usub, et ründajad kasutasid superarvutitele juurdepääsuks haavatavuse CVE-2019-15666 ärakasutamist ja seejärel juurutasid tarkvara Monero krüptovaluuta (XMR) kaevandamiseks.
Väärib märkimist, et paljud organisatsioonid, kes olid sunnitud sel nädalal sulgema juurdepääsu superarvutitele, olid varem teatanud, et eelistavad COVID-19 uuringuid.
Allikas: 3dnews.ru