Πολλά Supercomputers σε όλη την Ευρώπη μολύνθηκαν αυτήν την εβδομάδα με κακόβουλο λογισμικό εξόρυξης κρυπτονομισμάτων και σταμάτησαν να λειτουργούν για να διερευνήσουν τις εισβολές.
Έχουν αναφερθεί περιστατικά στο Ηνωμένο Βασίλειο, τη Γερμανία και την Ελβετία, ενώ φημολογείται ότι μια παρόμοια εισβολή έγινε και σε ένα κέντρο υπολογιστών υψηλής απόδοσης που βρίσκεται στην Ισπανία.
Η πρώτη αναφορά της επίθεσης εμφανίστηκε τη Δευτέρα από το Πανεπιστήμιο του Εδιμβούργου, το οποίο διαχειρίζεται τον υπερυπολογιστή ARCHER. Το Πανεπιστήμιο ανέφερε μια “εκμετάλλευση ασφάλειας στους κόμβους σύνδεσης του ARCHER”, και έκλεισε το σύστημα ARCHER για περαιτέρω διερεύνηση της επίθεσης. Άλλαξε τους κωδικούς πρόσβασης μέσω SSH για να αποτρέψει άλλες εισβολές.
Ο bwHPC, είναι ένας οργανισμός που συντονίζει ερευνητικά έργα σε υπερυπολογιστές στην πολιτεία Baden-Württemberg της Γερμανίας, και ανακοίνωσε επίσης τη Δευτέρα ότι πέντε από τα συμπλέγματα υπολογιστών υψηλής απόδοσης έπρεπε να κλείσουν λόγω παρόμοιων “συμβάντων ασφαλείας”:
Ο υπερυπολογιστής Hawk στο High-Performance Computing Center Stuttgart (HLRS) στο Πανεπιστήμιο της Στουτγκάρδης
Το bwUniCluster 2.0 και τα ForHLR II clusters στο Ινστιτούτο Τεχνολογίας της Καρλσρούης (KIT)
Το bwForCluster για έρευνες της κβαντική επιστήμη στο Πανεπιστήμιο Ulm
Το bwForCluster BinAC bioinformatics supercomputer στο Πανεπιστήμιο Tübingen
Οι αναφορές συνεχίστηκαν την Τετάρτη όταν ο ερευνητής ασφαλείας Felix von Leitner ισχυρίστηκε σε μια δημοσίευση ότι ένας υπερυπολογιστής που στεγάζεται στη Βαρκελώνη της Ισπανίας, επηρεάστηκε επίσης από ένα παρόμοιο ζήτημα ασφάλειας και είχε ως αποτέλεσμα να κλείσει.
Περισσότερα περιστατικά εμφανίστηκαν την επόμενη μέρα, την Πέμπτη. Το πρώτο προήλθε από το Leibniz Computing Center (LRZ), ένα ινστιτούτο της Βαυαρικής Ακαδημίας Επιστημών, το οποίο είπε ότι αποσύνδεσε ένα σύμπλεγμα υπολογιστών από το Διαδίκτυο μετά από μια παραβίαση ασφαλείας.
Την ανακοίνωση του LRZ ακολούθησε αργότερα την ίδια μέρα άλλη μια από διαφορετικό ερευνητικό κέντρο. Το κέντρο Julich στην πόλη Julich της Γερμανίας ανέφερε ότι έπρεπε να κλείσουν τους υπερυπολογιστές JURECA, JUDAC και JUWELS μετά από ένα “περιστατικό ασφάλειας”.
Νέες παραβιάσεις εμφανίστηκαν και σήμερα Σάββατο. Ο Γερμανός επιστήμονας Robert Helling δημοσίευσε μια ανάλυση για το κακόβουλο λογισμικό που μόλυνε ένα σύμπλεγμα υπολογιστών υψηλής απόδοσης στη Σχολή Φυσικής στο Πανεπιστήμιο Ludwig-Maximilians στο Μόναχο της Γερμανίας.
Το Ελβετικό Κέντρο Επιστημονικών Υπολογισμών (Swiss Center of Scientific Computations ή CSCS) στη Ζυρίχη της Ελβετίας έκλεισε επίσης την εξωτερική πρόσβαση στην υποδομή των υπερυπολογιστών του μετά από ένα “κυβερνο-συμβάν” και “μέχρι να αποκαταστήσει ένα ασφαλές περιβάλλον”.
Κανείς από τους παραπάνω δεν δημοσίευσε λεπτομέρειες για τις εισβολές. Ωστόσο, νωρίτερα σήμερα, η Ομάδα Ανταπόκρισης στην Ασφάλεια Υπολογιστών (Computer Security Incident Response Team ή CSIRT) για το European Grid Infrastructure (EGI), μια πανευρωπαϊκή οργάνωση που συντονίζει την έρευνα για τους υπερυπολογιστές σε όλη την Ευρώπη, κυκλοφόρησε δείγματα κακόβουλου λογισμικού από ορισμένα από αυτά τα περιστατικά.
Τα δείγματα κακόβουλου λογισμικού ελέγχθηκαν σήμερα από την Cado Security, μια εταιρεία ασφάλειας στον κυβερνοχώρο με έδρα τις ΗΠΑ. Η εταιρεία ανέφερεότι οι επιτιθέμενοι φαίνεται να έχουν αποκτήσει πρόσβαση στα clusters των υπερυπολογιστών μέσω παραβιασμένων διαπιστευτηρίων SSH.
Τα διαπιστευτήρια φαίνεται να έχουν κλαπεί από μέλη του πανεπιστημίου που έχουν πρόσβαση στους υπερυπολογιστές. Οι εισερχόμενες συνδέσεις SSH προερχόταν από πανεπιστήμια στον Καναδά, την Κίνα και την Πολωνία.
Ο Chris Doman, συνιδρυτής της Cado Security, ανέφερε σήμερα στο ZDNet ότι, αν και δεν υπάρχουν επίσημα στοιχεία που να επιβεβαιώνουν ότι όλες αυτές οι εισβολές έχουν πραγματοποιηθεί από την ίδια ομάδα, τα πανομοιότυπα ονόματα των αρχείων του κακόβουλου λογισμικού υποδηλώνουν ότι αυτό είναι πολύ πιθανό.
Σύμφωνα με την ανάλυση του Doman, μόλις οι εισβολείς αποκτήσουν πρόσβαση σε έναν κόμβο υπερυπολογιστών, χρησιμοποιούν ένα exploit για την ευπάθεια CVE-2019-15666 που τους βοηθάει να αποκτήσουν root πρόσβαση. Στη συνέχεια εγκατέστησαν μια εφαρμογή για mining Monero (XMR).
Να αναφέρουμε ότι πολλοί από τους υπερυπολογιστές που σταμάτησαν να λειτουργούν, είχαν δώσει προτεραιότητα σε έρευνες για τον COVID-19, οι οποίες φυσικά τώρα έχουν σταματήσει σαν αποτέλεσμα της εισβολής.
