Supercomputers hacked σε όλη την Ευρώπη για Monero mining

Πολλά σε όλη την Ευρώπη μολύνθηκαν αυτήν την εβδομάδα με κακόβουλο λογισμικό εξόρυξης κρυπτονομισμάτων και σταμάτησαν να λειτουργούν για να διερευνήσουν τις εισβολές.

Έχουν αναφερθεί περιστατικά στο Ηνωμένο Βασίλειο, τη Γερμανία και την Ελβετία, ενώ φημολογείται ότι μια παρόμοια εισβολή έγινε και σε ένα κέντρο υπολογιστών υψηλής απόδοσης που βρίσκεται στην Ισπανία.

Hawk στο High-Performance Computing Center Stuttgart (HLRS)
Hawk High-Performance Computing Center Stuttgart (HLRS)

Η πρώτη αναφορά της επίθεσης εμφανίστηκε τη Δευτέρα από το Πανεπιστήμιο του Εδιμβούργου, το οποίο διαχειρίζεται τον υπερυπολογιστή ARCHER. Το Πανεπιστήμιο ανέφερε μια “εκμετάλλευση ασφάλειας στους κόμβους σύνδεσης του ARCHER”, και έκλεισε το ARCHER για περαιτέρω διερεύνηση της επίθεσης. Άλλαξε τους κωδικούς πρόσβασης μέσω SSH για να αποτρέψει άλλες εισβολές.

Ο bwHPC, είναι ένας οργανισμός που συντονίζει ερευνητικά έργα σε στην πολιτεία Baden-Württemberg της Γερμανίας, και ανακοίνωσε επίσης τη Δευτέρα ότι πέντε από τα συμπλέγματα υπολογιστών υψηλής απόδοσης έπρεπε να κλείσουν λόγω παρόμοιων “συμβάντων ασφαλείας”:

Ο Hawk στο High-Performance Computing Center Stuttgart (HLRS) στο Πανεπιστήμιο της Στουτγκάρδης
Το bwUniCluster 2.0 και τα ForHLR II clusters στο Ινστιτούτο Τεχνολογίας της Καρλσρούης (KIT)
Το bwForCluster για έρευνες της κβαντική επιστήμη στο Πανεπιστήμιο Ulm
Το bwForCluster BinAC bioinformatics στο Πανεπιστήμιο Tübingen

Οι αναφορές συνεχίστηκαν την Τετάρτη όταν ο ερευνητής ασφαλείας Felix von Leitner ισχυρίστηκε σε μια δημοσίευση ότι ένας υπερυπολογιστής που στεγάζεται στη Βαρκελώνη της Ισπανίας, επηρεάστηκε επίσης από ένα παρόμοιο ζήτημα ασφάλειας και είχε ως αποτέλεσμα να κλείσει.

  H Google ετοιμάζει λύση για ασφαλείς κωδικούς πρόσβασης

Περισσότερα περιστατικά εμφανίστηκαν την επόμενη μέρα, την Πέμπτη. Το πρώτο προήλθε από το Leibniz Computing Center (LRZ), ένα ινστιτούτο της Βαυαρικής Ακαδημίας Επιστημών, το οποίο είπε ότι αποσύνδεσε ένα σύμπλεγμα υπολογιστών από το Διαδίκτυο μετά από μια παραβίαση ασφαλείας.

Την ανακοίνωση του LRZ ακολούθησε αργότερα την ίδια μέρα άλλη μια από διαφορετικό ερευνητικό κέντρο. Το κέντρο Julich στην πόλη Julich της Γερμανίας ανέφερε ότι έπρεπε να κλείσουν τους υπερυπολογιστές JURECA, JUDAC και JUWELS μετά από ένα “περιστατικό ασφάλειας”.

Νέες παραβιάσεις εμφανίστηκαν και σήμερα Σάββατο. Ο Γερμανός επιστήμονας Robert Helling δημοσίευσε μια ανάλυση για το κακόβουλο λογισμικό που μόλυνε ένα σύμπλεγμα υπολογιστών υψηλής απόδοσης στη Σχολή Φυσικής στο Πανεπιστήμιο Ludwig-Maximilians στο Μόναχο της Γερμανίας.

Το Ελβετικό Κέντρο Επιστημονικών Υπολογισμών (Swiss Center of Scientific Computations ή CSCS) στη Ζυρίχη της Ελβετίας έκλεισε επίσης την εξωτερική πρόσβαση στην υποδομή των υπερυπολογιστών του μετά από ένα “κυβερνο-συμβάν” και “μέχρι να αποκαταστήσει ένα ασφαλές περιβάλλον”.

Κανείς από τους παραπάνω δεν δημοσίευσε λεπτομέρειες για τις εισβολές. Ωστόσο, νωρίτερα σήμερα, η Ομάδα Ανταπόκρισης στην Ασφάλεια Υπολογιστών (Computer Incident Response Team ή CSIRT) για το European Grid Infrastructure (EGI), μια πανευρωπαϊκή οργάνωση που συντονίζει την έρευνα για τους υπερυπολογιστές σε όλη την Ευρώπη, κυκλοφόρησε δείγματα κακόβουλου λογισμικού από ορισμένα από αυτά τα περιστατικά.

  Γιατί τα Supercomputers τρέχουν με Linux;

Τα δείγματα κακόβουλου λογισμικού ελέγχθηκαν σήμερα από την Cado Security, μια εταιρεία ασφάλειας στον κυβερνοχώρο με έδρα τις ΗΠΑ. Η εταιρεία ανέφερεότι οι επιτιθέμενοι φαίνεται να έχουν αποκτήσει πρόσβαση στα clusters των υπερυπολογιστών μέσω παραβιασμένων διαπιστευτηρίων SSH.

Τα διαπιστευτήρια φαίνεται να έχουν κλαπεί από μέλη του πανεπιστημίου που έχουν πρόσβαση στους υπερυπολογιστές. Οι εισερχόμενες συνδέσεις SSH προερχόταν από πανεπιστήμια στον Καναδά, την Κίνα και την Πολωνία.

Ο Chris Doman, συνιδρυτής της Cado Security, ανέφερε σήμερα στο ZDNet ότι, αν και δεν υπάρχουν επίσημα στοιχεία που να επιβεβαιώνουν ότι όλες αυτές οι εισβολές έχουν πραγματοποιηθεί από την ίδια ομάδα, τα πανομοιότυπα ονόματα των αρχείων του κακόβουλου λογισμικού υποδηλώνουν ότι αυτό είναι πολύ πιθανό.

Σύμφωνα με την ανάλυση του Doman, μόλις οι εισβολείς αποκτήσουν πρόσβαση σε έναν κόμβο υπερυπολογιστών, χρησιμοποιούν ένα exploit για την ευπάθεια CVE-2019-15666 που τους βοηθάει να αποκτήσουν root πρόσβαση. Στη συνέχεια εγκατέστησαν μια εφαρμογή για mining Monero (XMR).

Να αναφέρουμε ότι πολλοί από τους υπερυπολογιστές που σταμάτησαν να λειτουργούν, είχαν δώσει προτεραιότητα σε έρευνες για τον COVID-19, οι οποίες φυσικά τώρα έχουν σταματήσει σαν αποτέλεσμα της εισβολής.

Ακολουθήσετε μας στο Google News iGuRu.gr at Google news

Written by giorgos

Ο Γιώργος ακόμα αναρωτιέται τι κάνει εδώ....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται.

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).


  +  67  =  76