Kļuva zināms, ka šonedēļ vairāki superdatori no dažādām Eiropas reģiona valstīm tika inficēti ar ļaunprogrammatūru kriptovalūtu ieguvei. Šāda veida incidenti notikuši Apvienotajā Karalistē, Vācijā, Šveicē un Spānijā.
Pirmais ziņojums par uzbrukumu saņemts pirmdien no Edinburgas universitātes, kur atrodas superdators ARCHER. Iestādes mājaslapā tika publicēts atbilstošs ziņojums un ieteikums mainīt lietotāju paroles un SSH atslēgas.
Tajā pašā dienā BwHPC organizācija, kas koordinē superdatoru pētniecības projektus, paziņoja par nepieciešamību apturēt piekļuvi pieciem skaitļošanas klasteriem Vācijā, lai izmeklētu "drošības incidentus".
Ziņojumi turpinājās trešdien, kad drošības pētnieks Fēlikss fon Leitners emuārā ierakstīja, ka piekļuve superdatoram Barselonā, Spānijā, tika slēgta, kamēr tika veikta kiberdrošības incidenta izmeklēšana.
Nākamajā dienā līdzīgas ziņas nāca no Leibnicas skaitļošanas centra, Bavārijas Zinātņu akadēmijas institūta, kā arī no Jūlich pētniecības centra, kas atrodas Vācijas pilsētā ar tādu pašu nosaukumu. Amatpersonas paziņoja, ka piekļuve superdatoriem JURECA, JUDAC un JUWELS ir slēgta pēc "informācijas drošības incidenta". Turklāt Šveices Zinātniskās skaitļošanas centrs Cīrihē pēc informācijas drošības incidenta arī slēdza ārējo piekļuvi savu skaitļošanas klasteru infrastruktūrai, "līdz tiek atjaunota droša vide".
Neviena no minētajām organizācijām nav publicējusi nekādu informāciju par notikušajiem incidentiem. Tomēr Informācijas drošības incidentu reaģēšanas grupa (CSIRT), kas koordinē superdatoru izpēti visā Eiropā, ir publicējusi ļaunprātīgas programmatūras paraugus un papildu datus par dažiem incidentiem.
Ļaunprātīgo programmu paraugus pārbaudīja speciālisti no amerikāņu kompānijas Cado Security, kas darbojas informācijas drošības jomā. Pēc ekspertu domām, uzbrucēji ieguva piekļuvi superdatoriem, izmantojot kompromitētus lietotāja datus un SSH atslēgas. Tāpat tiek uzskatīts, ka Kanādas, Ķīnas un Polijas universitāšu darbiniekiem tika nozagti akreditācijas dati, kuriem bija pieejami skaitļošanas klasteri dažādu pētījumu veikšanai.
Lai gan nav oficiālu pierādījumu, ka visus uzbrukumus veikusi viena hakeru grupa, līdzīgi ļaunprātīgas programmatūras failu nosaukumi un tīkla identifikatori norāda, ka uzbrukumu sēriju veica viena grupa. Cado Security uzskata, ka uzbrucēji izmantoja ievainojamības CVE-2019-15666 izmantošanu, lai piekļūtu superdatoriem, un pēc tam izvietoja programmatūru Monero kriptovalūtas (XMR) ieguvei.
Ir vērts atzīmēt, ka daudzas organizācijas, kuras šonedēļ bija spiestas slēgt piekļuvi superdatoriem, iepriekš bija paziņojušas, ka tās piešķir prioritāti COVID-19 pētījumiem.
Avots: 3dnews.ru