Geçtiğimiz hafta, Avrupa genelinde birden fazla süper bilgisayara kripto para madenciliği için kötü amaçlı yazılım bulaştırıldığı buna bağlı olarak saldırıları araştırmak için bilgisayarların kapatıldığı bildirildi.
İngiltere, Almanya ve İsviçre’de siber güvenlik vakaları rapor edilirken, benzer bir saldırının İspanya’daki super bilgisayar merkezinde meydana geldiği ortaya çıktı.
Saldırılar ait ilk rapor, 11 Mayıs Pazartesi günü ARCHER süper bilgisayarını yöneten Edinburgh Üniversitesi’nden bildirildi. Kuruluş, “ARCHER giriş düğümlerinde exploit” kullanıldığını rapor edildi. Bunun sonucunda ARCHER sistemi araştırmak için sistem kapatıldı ve daha fazla müdahaleyi önlemek için SSH şifreleri sıfırlandı.
Almanya’nın Baden-Württemberg eyaletinde süper bilgisayarlar arasında araştırma projelerini koordine eden bwHPC kuruluşu, Pazartesi günü için yapılan açıklamada, dört adet benzer vakanın gerçekleştiğini belirtti:
- Stuttgart Üniversitesi Yüksek Performanslı Bilgi İşlem Merkezi Stuttgart’taki (HLRS) Hawk Süper bilgisayarı
- Karlsruhe Teknoloji Enstitüsü’nde (KIT) bwUniCluster 2.0 ve ForHLR II Kümeleri
- Ulm Üniversitesi’nde bwForCluster JUSTUS kimya ve kuantum bilimi Süper bilgisayarı
- Tübingen Üniversitesi’nde bwForCluster BinAC biyoinformatik Süper bilgisayarı
Raporlar 13 Mayıs Çarşamba günü, güvenlik araştırmacısı Felix von Leitner’ın bir blog yazısında, İspanya’nın Barselona şehrinde bulunan bir süper bilgisayarın da benzer güvenlik sorunundan etkilendiğini ve bunun sonucunda kapatıldığını iddia etmesiyle devam etti.
Ertesi gün daha da fazla vakanın olduğu ortaya çıktı. İlki, Bavyera Bilimler Akademisi altındaki bir enstitü olan Leibniz Bilgi İşlem Merkezi’nden (LRZ) geldi. Güvenlik ihlali sonrasında bir bilgisayar kümesinin internetten izole edildiği belirtildi.
Yetkililer, bu olay sonrasında JURECA, JUDAC ve JUWELS süper bilgisayarlarını kapatmak zorunda olduklarını ifade ettiler. Dresden’deki Teknik Üniversite de Taurus süper bilgisayarlarını kapatmak zorunda olduklarını açıkladı.
Cumartesi günü de yeni vakalar gündeme geldi. Alman bilim adamı Robert Helling, Almanya’nın Münih kentindeki Ludwig-Maximilians Üniversitesi Fizik Fakültesinde yüksek performanslı bilgi işlem kümesine bulaşan kötü amaçlı yazılım üzerine bir analiz yayınladı.
İsviçre Zürih’teki İsviçre Bilimsel Hesaplama Merkezi (CSCS), “güvenli bir ortam sağlanana kadar” süper bilgisayar altyapısına dış erişime kapattı.
Computer Security Incident Response Team (CSIRT), bu olayların bazılarından kötü amaçlı yazılım örnekleri ile ağ güvenliği göstergeleri yayınladı.
Kötü amaçlı yazılım örnekleri daha önce ABD merkezli bir siber güvenlik şirketi olan Cado Security tarafından incelendi. Şirket, saldırganların güvenliği ihlal edilmiş SSH kimlik bilgileri aracılığıyla süper bilgisayar kümelerine eriştiklerini ifade etti. Hesaplama işlerini yürütmek için süper bilgisayarlara erişim izni verilen üniversite üyelerinden kimlik bilgilerinin çalındığı değerlendirmesi yapıldı. Bu SSH girişleri Kanada, Çin ve Polonya’daki üniversitelere ait olarak ifade edildi.
Cado Security’nin Kurucu Ortağı Chris Doman ZDNet’e yaptığı açıklamada, tüm saldırıların aynı grup tarafından yapıldığını doğrulayan resmi bir kanıt olmamakla birlikte, benzer kötü amaçlı yazılım dosya adları ve ağ göstergeleri gibi kanıtların bunun aynı gruba ait olabileceğini işaret ettiğini belirtti.
Doman’ın analizine göre, saldırganlar bir süper bilgisayar düğümüne eriştikten sonra, kök erişimi elde etmek için CVE-2019-15666 güvenlik açığından yararlanmaya çalıştığı ve Monero (XMR) kripto para birimi için kullandıkları ifade edilmiştir.
https://www.zdnet.com/article/supercomputers-hacked-across-europe-to-mine-cryptocurrency/
