Tapo žinoma, kad šią savaitę keli superkompiuteriai iš skirtingų Europos regiono šalių buvo užkrėsti kriptovaliutų kasimo kenkėjiška programa. Tokio tipo incidentai įvyko JK, Vokietijoje, Šveicarijoje ir Ispanijoje.
Pirmas pranešimas apie išpuolį gautas pirmadienį iš Edinburgo universiteto, kuriame yra superkompiuteris ARCHER. Atitinkamas pranešimas ir rekomendacija pakeisti vartotojų slaptažodžius bei SSH raktus buvo paskelbti įstaigos interneto svetainėje.
Tą pačią dieną BwHPC organizacija, koordinuojanti superkompiuterių tyrimų projektus, paskelbė, kad reikia sustabdyti prieigą prie penkių skaičiavimo grupių Vokietijoje, kad būtų galima ištirti „saugumo incidentus“.
Pranešimai tęsėsi ir trečiadienį, kai saugumo tyrinėtojas Felixas von Leitneris paskelbė tinklaraštį, kad prieiga prie superkompiuterio Barselonoje (Ispanija) buvo uždaryta, kol buvo atliktas kibernetinio saugumo incidento tyrimas.
Kitą dieną panašios žinutės atkeliavo iš Leibnizo skaičiavimo centro – Bavarijos mokslų akademijos instituto, taip pat iš Jülich tyrimų centro, įsikūrusio to paties pavadinimo Vokietijos mieste. Pareigūnai paskelbė, kad po „informacijos saugumo incidento“ buvo uždaryta prieiga prie superkompiuterių JURECA, JUDAC ir JUWELS. Be to, Šveicarijos mokslinio skaičiavimo centras Ciuriche taip pat uždarė išorinę prieigą prie savo kompiuterinių grupių infrastruktūros po informacijos saugumo incidento „kol bus atkurta saugi aplinka“.
Nė viena iš paminėtų organizacijų nepaskelbė jokios informacijos apie įvykusius incidentus. Tačiau informacijos saugumo incidentų reagavimo komanda (CSIRT), koordinuojanti superkompiuterių tyrimus visoje Europoje, paskelbė kenkėjiškų programų pavyzdžius ir papildomus duomenis apie kai kuriuos incidentus.
Kenkėjiškų programų pavyzdžius ištyrė informacijos saugumo srityje dirbančios amerikiečių kompanijos „Cado Security“ specialistai. Pasak ekspertų, užpuolikai prieigą prie superkompiuterių gavo per pažeistus vartotojo duomenis ir SSH raktus. Taip pat manoma, kad įgaliojimai buvo pavogti iš Kanados, Kinijos ir Lenkijos universitetų darbuotojų, kurie turėjo prieigą prie skaičiavimo grupių, kad galėtų atlikti įvairius tyrimus.
Nors nėra oficialių įrodymų, kad visas atakas įvykdė viena įsilaužėlių grupė, panašūs kenkėjiškų programų failų pavadinimai ir tinklo identifikatoriai rodo, kad atakų seriją įvykdė viena grupė. „Cado Security“ mano, kad užpuolikai naudojo CVE-2019-15666 pažeidžiamumo išnaudojimą, kad pasiektų superkompiuterius, o tada įdiegė programinę įrangą, skirtą Monero kriptovaliutai (XMR) kasti.
Verta paminėti, kad daugelis organizacijų, kurios šią savaitę buvo priverstos uždaryti prieigą prie superkompiuterių, anksčiau paskelbė, kad teikia pirmenybę COVID-19 tyrimams.
Šaltinis: 3dnews.ru