Tuli tunnetuksi, että useat supertietokoneet Euroopan alueen eri maista ovat saaneet tällä viikolla kryptovaluuttojen louhinnan haittaohjelmia. Tällaisia tapauksia on sattunut Isossa-Britanniassa, Saksassa, Sveitsissä ja Espanjassa.
Ensimmäinen raportti hyökkäyksestä tuli maanantaina Edinburghin yliopistosta, jossa ARCHER-supertietokone sijaitsee. Vastaava viesti ja suositus käyttäjien salasanojen ja SSH-avaimien vaihtamisesta julkaistiin laitoksen verkkosivuilla.
Samana päivänä supertietokoneiden tutkimusprojekteja koordinoiva BwHPC-organisaatio ilmoitti, että Saksassa on keskeytettävä pääsy viiteen laskentaklusteriin "turvaloukkausten" tutkimiseksi.
Raportit jatkuivat keskiviikkona, kun tietoturvatutkija Felix von Leitner kirjoitti blogissaan, että pääsy supertietokoneeseen Barcelonassa Espanjassa oli suljettu kyberturvallisuustapahtuman tutkinnan ajaksi.
Seuraavana päivänä samanlaisia viestejä tuli Leibniz Computing Centeristä, Baijerin tiedeakatemian instituutista, sekä Jülich Research Centeristä, joka sijaitsee samannimisessä Saksan kaupungissa. Virkamiehet ilmoittivat, että pääsy JURECA-, JUDAC- ja JUWELS-supertietokoneisiin on suljettu "tietoturvavälikohtauksen" vuoksi. Lisäksi Sveitsin tieteellisen laskennan keskus Zürichissä sulki myös ulkoisen pääsyn laskentaklusteriensa infrastruktuuriin tietoturvavälikohtauksen jälkeen "kunnes suojattu ympäristö on palautettu".
Yksikään mainituista organisaatioista ei ole julkaissut tapahtuneesta mitään yksityiskohtia. Tietoturvahäiriöiden vastausryhmä (CSIRT), joka koordinoi supertietokonetutkimusta eri puolilla Eurooppaa, on kuitenkin julkaissut haittaohjelmanäytteitä ja lisätietoja joistakin tapauksista.
Haittaohjelmanäytteitä tutkivat tietoturva-alalla toimivan amerikkalaisen Cado Securityn asiantuntijat. Asiantuntijoiden mukaan hyökkääjät pääsivät supertietokoneisiin vaarantuneiden käyttäjätietojen ja SSH-avaimien kautta. Uskotaan myös, että valtakirjat varastettiin Kanadan, Kiinan ja Puolan yliopistojen työntekijöiltä, joilla oli pääsy laskentaklustereihin erilaisten tutkimusten tekemiseen.
Vaikka ei ole olemassa virallisia todisteita siitä, että kaikki hyökkäykset olisivat suorittaneet yksi hakkeriryhmä, samanlaiset haittaohjelmatiedostojen nimet ja verkkotunnisteet viittaavat siihen, että hyökkäyssarjan teki yksi ryhmä. Cado Security uskoo, että hyökkääjät käyttivät CVE-2019-15666-haavoittuvuuden hyväksikäyttöä päästäkseen supertietokoneisiin ja ottivat sitten käyttöön ohjelmiston Moneron kryptovaluutan (XMR) louhintaan.
On syytä huomata, että monet organisaatiot, jotka joutuivat sulkemaan supertietokoneiden käytön tällä viikolla, olivat aiemmin ilmoittaneet asettavansa etusijalle COVID-19-tutkimuksen.
Lähde: 3dnews.ru