Bu hafta, Avrupa bölgesindeki farklı ülkelerdeki birçok süper bilgisayara, kripto para madenciliği için kötü amaçlı yazılım bulaştığı öğrenildi. Bu tür olaylar İngiltere, Almanya, İsviçre ve İspanya'da meydana geldi.
Saldırıya ilişkin ilk rapor Pazartesi günü ARCHER süper bilgisayarının bulunduğu Edinburgh Üniversitesi'nden geldi. Kurumun web sitesinde ilgili bir mesaj ve kullanıcı şifrelerinin ve SSH anahtarlarının değiştirilmesine yönelik bir öneri yayınlandı.
Aynı gün, süper bilgisayarlar üzerine araştırma projelerini koordine eden BwHPC kuruluşu, "güvenlik olaylarını" araştırmak için Almanya'daki beş bilgi işlem kümesine erişimin askıya alınması gerektiğini duyurdu.
Raporlar, Çarşamba günü güvenlik araştırmacısı Felix von Leitner'in, siber güvenlik olayıyla ilgili soruşturma yürütülürken İspanya'nın Barselona kentindeki bir süper bilgisayara erişimin kapatıldığını blogunda yayınlamasıyla devam etti.
Ertesi gün, Bavyera Bilimler Akademisi'nin bir enstitüsü olan Leibniz Bilgi İşlem Merkezi'nden ve aynı adı taşıyan Almanya şehrinde bulunan Jülich Araştırma Merkezi'nden de benzer mesajlar geldi. Yetkililer, JURECA, JUDAC ve JUWELS süper bilgisayarlarına erişimin bir "bilgi güvenliği olayı" sonrasında kapatıldığını duyurdu. Ayrıca Zürih'teki İsviçre Bilimsel Bilgi İşlem Merkezi de bilgi güvenliği olayının ardından "güvenli bir ortam sağlanana kadar" bilgi işlem kümelerinin altyapısına harici erişimi kapattı.
Adı geçen kuruluşların hiçbiri yaşanan olaylarla ilgili herhangi bir ayrıntı yayınlamadı. Ancak Avrupa genelinde süper bilgi işlem araştırmalarını koordine eden Bilgi Güvenliği Olay Müdahale Ekibi (CSIRT), bazı olaylara ilişkin kötü amaçlı yazılım örnekleri ve ek veriler yayınladı.
Kötü amaçlı yazılım örnekleri, bilgi güvenliği alanında çalışan Amerikan şirketi Cado Security'nin uzmanları tarafından incelendi. Uzmanlara göre saldırganlar, ele geçirilen kullanıcı verileri ve SSH anahtarları aracılığıyla süper bilgisayarlara erişim sağladı. Ayrıca Kanada, Çin ve Polonya'daki üniversitelerin çeşitli araştırmalar yürütmek üzere bilgisayar kümelerine erişimi olan çalışanlarının kimlik bilgilerinin çalındığına inanılıyor.
Saldırıların tamamının tek bir bilgisayar korsanı grubu tarafından gerçekleştirildiğine dair resmi bir kanıt bulunmamakla birlikte, benzer kötü amaçlı yazılım dosya adları ve ağ tanımlayıcıları, bir dizi saldırının tek bir grup tarafından gerçekleştirildiğini gösteriyor. Cado Security, saldırganların süper bilgisayarlara erişmek için CVE-2019-15666 güvenlik açığından yararlandığına ve ardından Monero kripto para biriminin (XMR) madenciliği için yazılım dağıttığına inanıyor.
Bu hafta süper bilgisayarlara erişimi kapatmak zorunda kalan kuruluşların çoğunun daha önce COVID-19 araştırmalarına öncelik verdiklerini duyurmuş olduğunu belirtmekte fayda var.
Kaynak: 3dnews.ru