ابر رایانه های اروپایی در حملات سایبری مرموز هک شدند

ابر رایانه های اروپایی در حملات سایبری مرموز هک شدند

چندین ابر رایانه و دیتاسنترهایی که برای پروژه های تحقیقاتی در سراسر اروپا استفاده می شدند، به دلیل حوادث امنیتی این هفته خاموش شدند.

 

حدود ده ها نمونه از این ابر کامپیوترها در آلمان، انگلیس و سوئیس تحت تاثیر قرار گرفتند و به همین دلیل محققان دیگر قادر به ادامه کار خود نمی باشند. بعضی از آنها در اوایل ژانویه در معرض خطر قرار گرفتند.

ابر رایانه ها سیستمهای بسیار قدرتمندی هستند که برای انجام محاسبات با سرعت بالا بر روی سخت افزار سنتی ساخته شده اند.

آنها عمدتاً برای کارهای علمی و آزمایش مدلهای ریاضی برای پدیده ها و طرح های پیچیده فیزیکی مورد استفاده قرار می گیرند.

در آلمان چندین کلاستر از کار افتادند

روز دوشنبه، پیغام هایی از سوی انگلیس و آلمان در مورد اینکه ابرکامپیوترها را به دلیل حملات سایبری خاموش کردند، به گوش رسید.

ARCHER، سرویس ملی ابررایانه انگلستان، به دلیل سوء استفاده امنیتی در node های لاگین در 11 ماه می، از دسترس تحقیقات خارج شد. دسترسی خارجی این سرویس قفل باقی می ماند و اخبار تازه در این مورد فردا منتشر خواهد شد.

فعالیت هایی که در حال حاضر در حال اجرا و یا در صف هستند، همچنان به کار خود ادامه می دهند ولی شما نمی توانید وارد سیستم شوید یا کار جدیدی اجرا کنید.

گذرواژه ها و کلید های SSH بازنشانی خواهند شد. کاربرانی که بعد از آنلاین شدن سرویس قصد لاگین کردن داشته باشند، احتیاج به گذرواژه دو مرحله ای دارند: یک کلید SSH با یک عبارت و گذرواژه جدید برای ARCHER

پروژه محاسباتی با کارایی بالای Baden-Württemberg (bwHPC) در آلمان در همان روز یک حادثه امنیتی را اعلام کرد که باعث شد کلاسترها در دسترس خارج شوند و هیچ محدوده زمانی برای از سرگیری عملیات اعلام نکردند:
 

  • bwUniCluster 2.0 at the Karlsruhe Institute of Technology
  • ForHLR II at the Karlsruhe Institute of Technology
  • bwForCluster JUSTUS, used for chemistry applications
  • bwForCluster BinAC at the University of Tübingen, used for bioinformatics and astrophysics projects
  • Hawk, inaugurated in February at the High-Performance Computing Center in Stuttgart

مرکز ابررایانه Leibniz در روز پنجشنبه به کاربران اطلاع داد که یک حادثه امنیتی بر روی رایانه های با عملکرد بالا رخ داده است و این موسسه را وادار کرده تا شبکه این موسسه را از جهان خارج جدا و ایزوله کند.

همچنین در روز پنجشنبه، مرکز ابررایانه Jülich (JSC) در آلمان اعلام کرد که ابررایانه های JURECA، JUDA، JUWELS به دلیل حادثه امنیتی فناوری اطلاعات از دسترس خارج شدند.

گفته Patrick Beuth ، روزنامه نگار SPIEGEL ، تا پایان هفته ، حداقل 9 ابر رایانه در آلمان تحت تأثیر حملات سایبری قرار گرفتند.

یک یادداشت مشابه برای سیستم Taurus در دانشگاه فنی در Dresden ارسال شده است: "به دلیل یک مسئله امنیتی ، موقتاً دسترسی به Taurus را بستیم."

BwForCluster NEMO در Freiburg که برای تحقیقات در علوم اعصاب، فیزیک ذرات بنیادی و مهندسی میکروسیستم استفاده می شدند نیز هک شده اند.

Beuth گزارش داد که کاربران ایمیلی دریافت کردند که می گوید مهاجم یک حساب سرقت شده با دسترسی Root دارد. در مجموع 7 حمله شناسایی شد که اولین مورد در 9 ژانویه بود.

روز شنبه، مرکز محاسبات علمی سوئیس (CSCS) به کاربران خود اطلاع داد که به دلیل فعالیت های مخرب که در سیستم کشف شد، چندین رایانه با کارایی بالا و دیتاسنتر دانشگاه در دسترس نمی باشند.

مدیر CSCS به نام Thomas Schulthess اعلام کرد: ما هم اکنون در حال بررسی دسترسی غیر مجاز به مرکز هستیم. مهندسان ما به طور جدی در حال بازگرداندن سیستمها در سریع ترین زمان ممکن هستند تا تاثیر بر روی کاربران را به حداقل برسانند.

قصد رمزنگاری

جزئیات در مورد هدف این حمله اندک است اما European Grid Infrastructure (EGI) در مشاوره روز گذشته جزئیات مربوط به دو حمله سایبری به مراکز اطلاعات آکادمیک را منتشر کرد که به نظر می رسد کار همان مهاجم باشد.

در هر دو مورد، مهاجمان با استفاده از گذرواژه های SSH که بدست آوردند، امیدوارند که از یک هاست استفاده کرده و به دیگر هاست ها نیز دسترسی پیدا کنند تا از منابع CPU برای تولید ارز دیجیتال Monero استفاده کنند. بعضی هاست ها برای mine کردن استفاده می شوند و برخی دیگر به عنوان پروکسی برای اتصال به سرور mining استفاده می شوند.

تیم پاسخ حوادث امنیتی رایانه ای (CSIRT) در EGI دریافتند که در یک مورد، فعالیت های مخرب mining به گونه ای تنظیم شده است که فقط در ساعات شب اجرا شود و به احتمال زیاد از شناسایی جلوگیری کند.

CSIRT جزئیات فنی و شاخص های به خطر افتاده را برای حوادثی که آنها مورد تجزیه و تحلیل قرار داده اند منتشر کرد و خاطرنشان کرد: قربانیان در چین ، ایالات متحده و اروپا واقع شده اند.

جزئیات بدافزار

Tillman Werner محقق امنیتی در Crowdstrike اعلام کرد که یکی از این مولفه ها دارای دسترسی Root می باشد و برنامه های دیگری را بارگذاری می کند. یکی دیگر از مولفه ها برای حذف اثار بجا مانده از داده های لاگ استفاده می شود.

این محقق همچنین می گوید که هر دو مولفه باینری ELF64 هستند. لودر در /etc/fonts/.fonts و پاک کننده لاگ نیز در /etc/fonts/.low قرار دارد.

ظاهراً فایل های مختلفی وجود دارد که در سیستم هدف کامپایل می شوند اما عملکرد آنها یکسان است. قوانین تشخیص برای هر دو بخش (1،2):

rule loader { strings: $ = { 61 31 C2 8B 45 FC 48 98 } condition: all of them }

rule cleaner { strings: $ = { 14 CC FC 28 25 DE B9 } condition: all of them }

تجزیه و تحلیل دو مولفه بدافزار از Robert Helling و Cado Security، یک شرکت سایبری امنیتی در ایالات متحده موجود است. این شرکت می گوید که این بدافزار از طریق آلمان، انگلیس، سوئیس و اسپانیا در سرویس اسکن VirusTotal بارگذاری شده است.

محقق امنیتی Flix von Letiner در مطلبی در وبلاگ گفت که همکارانش در لهستان گزارش دادند که یک ابررایانه در بارسلونا نیز تحت تاثیر قرار گرفته است.

منبع: bleepingcomputer.com