هک ابررایانه های مناطق مختلف اروپا با هدف استخراج رمز ارز

ابررایانه های مختلفی که در بعضی از کشورهای اروپایی قرار دارند، به یک بدافزار استخراج رمز ارز آلوده شده اند. شدت این آلودگی ها به حدی بوده است که مسئولان مربوطه برای برطرف سازی آنها مجبور به خاموش کردن ابررایانه های خود شده اند.

این حوادث امنیتی در کشورهای انگلیس، آلمان و سوئیس رخ داده اند. البته گزارش های مشابهی نیز از آلوده شدن یک مرکز مهم رایانه ای در اسپانیا منتشر شده است.

اولین گزارش حمله، توسط دانشگاه ادینبورگ منتشر شد که ابررایانه “ARCHER” را اداره می‌کند. این دانشگاه، خبر از شناسایی یک اکسپلویت نرم‌افزاری در نودهای لاگین ARCHER داده و سپس این ابررایانه را برای بررسی‌های بیشتر، خاموش کرده و برای مقابله با نفوذ مجدد نیز کلمه های عبور SSH آن را تغییر داده است.

سازمان “bwHPC” که هماهنگی پروژه‌های تحقیقاتی در ابررایانه های ایالت بادن-وورتمبرگ آلمان را بر عهده دارد هم اعلام کرده است که پنج کلاستر پرقدرت این سازمان به دلیل وقوع حوادث امنیتی مشابه خاموش شده اند؛ از جمله:

• ابررایانه Hawk در مرکز رایانش پرسرعت اشتوتگارت[1] (HLRS)، در دانشگاه اشتوتگارت
• کلاسترهای bwUniCluster 2.0 و ForHLR II، در مؤسسه فناوری کارلسروهه[2] (KIT)
• ابررایانه علوم کوانتوم و شیمی JUSTUS، از کلاستر bwForCluster در دانشگاه اولم
• ابررایانه بیوانفورماتیک BinAC، از کلاستر bwForCluster در دانشگاه توبینگن.

این گزارش ها با انتشار یک پست وبلاگی توسط Felix von Leitner محقق امنیتی که ادعا می‌کرد یکی از ابررایانه های مستقر در بارسلونای اسپانیا هم دچار یک مشکل امنیتی مشابه و سپس خاموش شده است، ادامه یافت. در روزهای اخیر نیز مرکز رایانش لیبنیز (LNZ)، مؤسسه‌ای که زیر نظارت آکادمی علوم باواریا کار می‌کند اعلام کرده است که پس از یک رخنه امنیتی، ارتباط یکی از کلاسترهای رایانه ای این مؤسسه را با اینترنت قطع کرده است.

پس از این گزارش، مرکز مطالعات یولیش در شهر یولیش آلمان هم اطلاعیه مشابهی را منتشر کرد. مقامات این مرکز اعلام کرده اند که به دلیل یک حادثه امنیتی، مجبور به خاموش کردن ابررایانه های JURECA، JUDAC و JUWELS شده‌اند. همزمان با این اطلاعیه، دانشکده فنی درسدن هم خبر از خاموش کردن ابررایانه Taurus خود داده است.

Robert Helling، محقق آلمانی، تحلیلی در رابطه با بدافزاری که کلاسترهای پرسرعت دانشکده فیزیک دانشگاه لودویگ ماکسیمیلیان مونیخ آلمان را هدف خود قرار داده، منتشر کرده است.

مرکز محاسبات علمی سوئیس که در شهر زوریخ این کشور واقع شده است هم بعد از یک حادثه سایبری، امکان دسترسی به زیرساخت‌های ابررایانه خود از بیرون این مؤسسه را موقتاً لغو و اعلام کرد این قطع دسترسی تا زمان بازگشت اوضاع به حالتی امن ادامه خواهد داشت.

 

مهاجمان از طریق سازوکار لاگین SSH، امکان دسترسی به این ابررایانه ها را پیدا کرده اند.

مؤسسه اروپایی “Infrastructure” که تحقیقات مربوط به ابررایانه ها را در سراسر اروپا هماهنگ می‌کند، نمونه‌هایی از بدافزارها و علایم آلوده شدن شبکه در برخی از این حوادث را منتشر کرده است.

این نمونه‌ها توسط یک شرکت امنیت سایبری انگلیسی با نام “Cado Security” هم مورد بررسی قرار گرفته اند. این شرکت اعلام کرده که ظاهراً هکرها از طریق هک اطلاعات لاگین SSH توانسته اند به این کلاسترها دسترسی پیدا کنند. این اطلاعات از اعضای دانشگاه که برای انجام کارهایشان به ابررایانه ها دسترسی داشته‌اند، به سرقت رفته و متعلق به دانشگاه‌هایی در کانادا، چین و هلند هستند.

طبق اظهارات Chris Doman یکی از بنیانگذاران شرکت Cado Security، هر چند تاکنون هیچ گونه شواهد رسمی برای تأیید اجرای این حملات توسط یک گروه خاص وجود ندارد اما نام یکسان فایل‌های بدافزارها و یک سری نشانه‌های به جا مانده در شبکه نشان می‌دهد که ممکن است عامل همه این حملات، یک فرد یا گروه هکری خاصی باشد.

بر اساس تحلیل‌های Doman، مهاجمان پس از دسترسی به یک نود ابررایانه، از آسیب پذیری  CVE-2019-15666 برای دستیابی به مجوزهای root و نصب برنامه کاربردی استخراج رمز ارز مونرو استفاده کرده اند.

در طول چند هفته اخیر، بسیاری از سازمان‌هایی که ابررایانه دارند اعلام کرده‌اند که هم اکنون اولویت اصلی آنها تحقیق در خصوص بیماری کووید 19 است و ظاهراً این حملات و تعطیلی ناشی از آن باعث ایجاد اختلال هایی در روند انجام این تحقیقات شده است.

 

سابقه حملات مشابه

اگرچه حملات به وقوع پیوسته، اولین حملاتی نیستند که در آنها بر روی یک ابررایانه، بدافزار استخراج ارز دیجیتال نصب می‌شود ولی این اولین باری است که هکرها چنین کاری را انجام می‌دهند؛ چون در حوادث گذشته معمولاً یکی از کارمندان همان مؤسسه در راستای منافع شخصی اش چنین بدافزارهایی را نصب می‌کرد.

به عنوان مثال، در فوریه سال 2018 میلادی مقام های روسی مهندسانی از مرکز تحقیقات هسته‌ای روسیه را به دلیل استفاده از ابررایانه این مؤسسه برای استخراج رمز ارز بازداشت کردند. یک ماه بعد نیز مقامات استرالیایی شروع به تحقیق درباره پرونده مشابهی در اداره هواشناسی استرالیا کردند که در آن، کارمندان این اداره از ابررایانه آن برای استخراج رمز ارز استفاده کرده بودند.

 

 

• [1] High-Performance Computing Center Stuttgart
• [2] Karlsruhe Institute of Technology

 

منبع: zdnet