ابررایانه های مختلفی که در بعضی از کشورهای اروپایی قرار دارند، به یک بدافزار استخراج رمز ارز آلوده شده اند. شدت این آلودگی ها به حدی بوده است که مسئولان مربوطه برای برطرف سازی آنها مجبور به خاموش کردن ابررایانه های خود شده اند.
این حوادث امنیتی در کشورهای انگلیس، آلمان و سوئیس رخ داده اند. البته گزارش های مشابهی نیز از آلوده شدن یک مرکز مهم رایانه ای در اسپانیا منتشر شده است.
اولین گزارش حمله، توسط دانشگاه ادینبورگ منتشر شد که ابررایانه “ARCHER” را اداره میکند. این دانشگاه، خبر از شناسایی یک اکسپلویت نرمافزاری در نودهای لاگین ARCHER داده و سپس این ابررایانه را برای بررسیهای بیشتر، خاموش کرده و برای مقابله با نفوذ مجدد نیز کلمه های عبور SSH آن را تغییر داده است.
سازمان “bwHPC” که هماهنگی پروژههای تحقیقاتی در ابررایانه های ایالت بادن-وورتمبرگ آلمان را بر عهده دارد هم اعلام کرده است که پنج کلاستر پرقدرت این سازمان به دلیل وقوع حوادث امنیتی مشابه خاموش شده اند؛ از جمله:
- ابررایانه Hawk در مرکز رایانش پرسرعت اشتوتگارت[1] (HLRS)، در دانشگاه اشتوتگارت
- کلاسترهای bwUniCluster 2.0 و ForHLR II، در مؤسسه فناوری کارلسروهه[2] (KIT)
- ابررایانه علوم کوانتوم و شیمی JUSTUS، از کلاستر bwForCluster در دانشگاه اولم
- ابررایانه بیوانفورماتیک BinAC، از کلاستر bwForCluster در دانشگاه توبینگن.
این گزارش ها با انتشار یک پست وبلاگی توسط Felix von Leitner محقق امنیتی که ادعا میکرد یکی از ابررایانه های مستقر در بارسلونای اسپانیا هم دچار یک مشکل امنیتی مشابه و سپس خاموش شده است، ادامه یافت. در روزهای اخیر نیز مرکز رایانش لیبنیز (LNZ)، مؤسسهای که زیر نظارت آکادمی علوم باواریا کار میکند اعلام کرده است که پس از یک رخنه امنیتی، ارتباط یکی از کلاسترهای رایانه ای این مؤسسه را با اینترنت قطع کرده است.
پس از این گزارش، مرکز مطالعات یولیش در شهر یولیش آلمان هم اطلاعیه مشابهی را منتشر کرد. مقامات این مرکز اعلام کرده اند که به دلیل یک حادثه امنیتی، مجبور به خاموش کردن ابررایانه های JURECA، JUDAC و JUWELS شدهاند. همزمان با این اطلاعیه، دانشکده فنی درسدن هم خبر از خاموش کردن ابررایانه Taurus خود داده است.
Robert Helling، محقق آلمانی، تحلیلی در رابطه با بدافزاری که کلاسترهای پرسرعت دانشکده فیزیک دانشگاه لودویگ ماکسیمیلیان مونیخ آلمان را هدف خود قرار داده، منتشر کرده است.
مرکز محاسبات علمی سوئیس که در شهر زوریخ این کشور واقع شده است هم بعد از یک حادثه سایبری، امکان دسترسی به زیرساختهای ابررایانه خود از بیرون این مؤسسه را موقتاً لغو و اعلام کرد این قطع دسترسی تا زمان بازگشت اوضاع به حالتی امن ادامه خواهد داشت.
مهاجمان از طریق سازوکار لاگین SSH، امکان دسترسی به این ابررایانه ها را پیدا کرده اند.
مؤسسه اروپایی “Infrastructure” که تحقیقات مربوط به ابررایانه ها را در سراسر اروپا هماهنگ میکند، نمونههایی از بدافزارها و علایم آلوده شدن شبکه در برخی از این حوادث را منتشر کرده است.
این نمونهها توسط یک شرکت امنیت سایبری انگلیسی با نام “Cado Security” هم مورد بررسی قرار گرفته اند. این شرکت اعلام کرده که ظاهراً هکرها از طریق هک اطلاعات لاگین SSH توانسته اند به این کلاسترها دسترسی پیدا کنند. این اطلاعات از اعضای دانشگاه که برای انجام کارهایشان به ابررایانه ها دسترسی داشتهاند، به سرقت رفته و متعلق به دانشگاههایی در کانادا، چین و هلند هستند.
طبق اظهارات Chris Doman یکی از بنیانگذاران شرکت Cado Security، هر چند تاکنون هیچ گونه شواهد رسمی برای تأیید اجرای این حملات توسط یک گروه خاص وجود ندارد اما نام یکسان فایلهای بدافزارها و یک سری نشانههای به جا مانده در شبکه نشان میدهد که ممکن است عامل همه این حملات، یک فرد یا گروه هکری خاصی باشد.
بر اساس تحلیلهای Doman، مهاجمان پس از دسترسی به یک نود ابررایانه، از آسیب پذیری CVE-2019-15666 برای دستیابی به مجوزهای root و نصب برنامه کاربردی استخراج رمز ارز مونرو استفاده کرده اند.
در طول چند هفته اخیر، بسیاری از سازمانهایی که ابررایانه دارند اعلام کردهاند که هم اکنون اولویت اصلی آنها تحقیق در خصوص بیماری کووید 19 است و ظاهراً این حملات و تعطیلی ناشی از آن باعث ایجاد اختلال هایی در روند انجام این تحقیقات شده است.
سابقه حملات مشابه
اگرچه حملات به وقوع پیوسته، اولین حملاتی نیستند که در آنها بر روی یک ابررایانه، بدافزار استخراج ارز دیجیتال نصب میشود ولی این اولین باری است که هکرها چنین کاری را انجام میدهند؛ چون در حوادث گذشته معمولاً یکی از کارمندان همان مؤسسه در راستای منافع شخصی اش چنین بدافزارهایی را نصب میکرد.
به عنوان مثال، در فوریه سال 2018 میلادی مقام های روسی مهندسانی از مرکز تحقیقات هستهای روسیه را به دلیل استفاده از ابررایانه این مؤسسه برای استخراج رمز ارز بازداشت کردند. یک ماه بعد نیز مقامات استرالیایی شروع به تحقیق درباره پرونده مشابهی در اداره هواشناسی استرالیا کردند که در آن، کارمندان این اداره از ابررایانه آن برای استخراج رمز ارز استفاده کرده بودند.
منبع: zdnet