Nhiều hệ thống siêu máy tính ở châu Âu, đặc biệt là các nước Anh, Đức, Thuy Sĩ, Tây Ban Nha… vừa bị tấn công và cài mã độc khai thác tiền điện tử. Các nhà nghiên cứu buộc phải ngừng hoạt động những hệ thống này để khắc phục sự cố.

Vụ tấn công đầu tiên được báo cáo từ ngày 11/5, do các chuyên gia của Đại học Edinburgh (Anh), nơi điều hành siêu máy tính ARCHER. Các nhà nghiên cứu cho biết đã tắt siêu máy tính này, đặt lại mật khẩu cho giao thức SSH (chương trình tương tác giữa máy chủ và máy khách) để ngăn chặn hành vi xâm nhập của tin tặc. Cùng thời điểm này, BwHPC, tổ chức điều phối dự án nghiên cứu siêu máy tính ở bang Baden-Wurmern (Đức) cũng báo cáo 5 cụm máy tính hiệu năng cao của họ đã phải ngừng hoạt động do sự cố bảo mật tương tự.

Hai ngày sau đó, nhà nghiên cứu bảo mật Felix von Leitner tiết lộ siêu máy tính đặt ở Barcelona (Tây Ban Nha) cũng bị ảnh hưởng và đang bị tắt để khắc phục.

Hàng loạt siêu máy tính ở châu Âu bị tấn công để khai thác tiền điện tử

Nhiều sự cố tiếp tục được báo cáo trong những ngày sau đó. Ngày 14/5, Trung tâm điện toán Leibniz (LRZ), một viện thuộc Viện Hàn lâm Khoa học Bavaria (Đức), cho biết đã ngắt kết nối mạng một cụm máy tính do bị tấn công. Cùng ngày, Trung tâm nghiên cứu Julich ở Julich (Đức) xảy ra tình trạng tương tự, buộc các chuyên gia phải tắt ba siêu máy tính JURECA, JUDAC và JUWELS. Đại học Kỹ thuật ở Dresden (Đức) cũng tuyên bố tắt siêu máy tính Taurus do sự cố bảo mật.

Ngày 16/5, nhà khoa học Robert Helling công bố phân tích về việc cụm máy tính hiệu năng cao tại Khoa Vật lý tại Đại học Ludwig-Maximilians ở Munich (Đức) bị lây nhiễm phần mềm độc hại.

Trung tâm Tính toán Khoa học Thụy Sĩ (CSCS) tại Zurich, Thụy Sĩ cũng khóa truy cập bên ngoài với hệ thống siêu máy tính tại đây sau sự cố mạng. Các chuyên gia cho biết sẽ cho phép truy cập trở lại sau khi khôi phục an toàn.

Chưa có bất kỳ cơ quan nào công bố chi tiết về những cuộc tấn công. Tuy nhiên, Nhóm Ứng phó Sự cố An ninh Máy tính (CSIRT) cho Cơ sở Hạ tầng Mạng lưới châu Âu (EGI), đã phát hành một số mẫu phần mềm độc hại cùng những chỉ số thỏa hiệp mạng từ những sự cố bảo mật trên. Các mẫu phần mềm độc hại được xem xét trước đó bởi Cado Security, công ty an ninh mạng có trụ sở tại Mỹ. Hãng cho biết những kẻ tấn công đã giành được quyền truy cập vào các cụm siêu máy tính thông qua SSH (Secure Socket Shell) – một giao thức mạng thường sử dụng để đăng nhập vào máy tính từ xa.

Thông tin đăng nhập bị đánh cắp từ các thành viên của một số Trường Đại học được cấp quyền truy cập vào siêu máy tính. Các thông tin đăng nhập vào giao thức SSH thuộc về các trường đại học ở Canada, Trung Quốc và Ba Lan.

Chris Doman, đồng sáng lập công ty bảo mật mạng Cado Security, cho biết dù chưa có bằng chứng chính thức xác nhận tất cả cuộc xâm nhập được thực hiện bởi cùng một nhóm, nhưng nhiều dấu hiệu như chỉ số mạng (network indicator), tên phần mềm độc hại giống nhau… cho thấy những vụ tấn công có thể do cùng một đối tượng gây ra. Theo phân tích của Doman, khi kẻ tấn công có quyền truy cập vào siêu máy tính, hắn sẽ khai thác lỗ hổng CVE-2019-15666 để có quyền truy cập root và sau đó triển khai vào đó ứng dụng khai thác tiền điện tử Monero (XMR).

Tệ hơn, nhiều tổ chức có siêu máy tính bị tấn công trong tuần trước cho biết họ đang ưu tiên sử dụng những siêu máy tính này để nghiên cứu về sự bùng phát của dịch COVID-19, vì vậy, hiện tại việc nghiên cứu về dịch bệnh đang bị trì hoãn. Đây không phải là lần đầu phần mềm độc hại khai thác tiền điện tử bị cài đặt trên các siêu máy tính, nhưng lại là lần đầu tin tặc thực hiện hình thức tấn công này. Những sự cố trước đây thường do chính nhân viên vận hành hệ thống cài đặt và khai thác vì lợi ích cá nhân.

Để lại bình luận

Vui lòng nhập bình luận của bạn
Vui lòng nhập tên của bạn ở đây