Kripto para madenciler işi büyüttü. Avrupa genelinde birden fazla süper bilgisayara bu hafta kripto para madenciliği kötü amaçlı yazılım bulaştığı raporlandı. Almanya, İspanya, İngiltere ve İsviçre olayı güvenlik kurumlarına bildirdi. Süperbilgisayarlar saldırıları araştırmak için kapatıldı.
Saldırının ilk raporu Pazartesi günü ARCHER süper bilgisayarını çalıştıran Edinburgh Üniversitesi’nden duyuldu [1]. ARCHER sistemini araştırmak için kapattı ve daha fazla müdahaleyi önlemek için SSH şifrelerini sıfırladı.
Arkasından Almanya’nın Baden-Württemberg eyaletindeki süper bilgisayarlar arasında araştırma projelerini koordine eden bwHPC, Pazartesi günü yaptığı açıklamada, yüksek performanslı bilgi işlem kümelerinin beşinin benzer “güvenlik olayları” nedeniyle kapatıldığını duyurdu [2]. Kapatılan sistemler şunlar;
- Hawk süper Stuttgart Üniversitesi Yüksek Performanslı Bilgisayar Merkezi Stuttgart (HLRS) de
- Karlsruhe Teknoloji Enstitüsü’nde (KIT) bwUniCluster 2.0 ve ForHLR II kümeleri
- Ulm Üniversitesi’nde bwForCluster JUSTUS kimya ve kuantum bilimi süper bilgisayarı
- Tübingen Üniversitesi’nde bwForCluster BinAC biyoinformatik süper bilgisayarı
Derken, güvenlik araştırmacısı Felix von Leitner İspanya’nın Barselona kentinde bulunan bir süper bilgisayarın da bir güvenlik sorunundan etkilendiğini ve sonuç olarak kapatıldığını yazdı[3].
Ertesi gün Perşembe günü daha fazla olay ortaya çıktı. Birincisi, Bavyera Bilimler Akademisi altındaki bir enstitü olan Leibniz Bilgi İşlem Merkezi’nden (LRZ) geldi. Süper bilgisayarın kapatıldığı bildirildi [4].
Bunu Almanya’nın Julich kasabasındaki Julich Araştırma Merkezi’ndeki süper bilgisayarlar Jureca, Judac ve Juwels takip etti. Onlar da kapatıldı [5].
Cumartesi günü ise yeni ihlaller gündeme geldi. Alman bilim adamı Robert Helling, Almanya’nın Münih kentindeki Ludwig-Maximilians Üniversitesi Fizik Fakültesinde yüksek performanslı bir bilgi işlem kümesine bulaşan kötü amaçlı yazılım üzerine bir analiz yayınladı[6] .
İsviçre Zürih’teki İsviçre Bilimsel Hesaplama Merkezi (CSCS), “güvenli bir ortam sağlanana kadar” diyerek süper bilgisayar altyapısına dış erişimi kapattı[7] .
Saldırganlar Kripto Para Madencileri
Yukarıdaki kuruluşların hiçbiri izinsiz girişler hakkında herhangi bir ayrıntı yayınlamadı. Sadece, Avrupa’daki süper bilgisayarlar hakkındaki araştırmaları koordine eden Avrupa Grid Altyapısı için Bilgisayar Güvenliği Olay Müdahale Ekibi (CSIRT) saldırganların madenci olduğuna dair bir analiz yayınladı [8].
Saldırıyı inceleyen Cado Security isimli ABD merkezli firma, saldırganların güvenliği ihlal edilmiş SSH kimlik bilgileri aracılığıyla süper bilgisayar kümelerine eriştiklerini söyledi[9]. Hesaplama işlerini yürütmek için süper bilgisayarlara erişim izni verilen üniversite üyelerinden kimlik bilgilerinin çalındığı görülüyor. Çalınan SSH girişleri Kanada, Çin ve Polonya’daki üniversitelere aitti.
Bu olaylar, bir süper bilgisayara kripto madenciliği kötü amaçlı yazılımının ilk kez kullanılması değil. Ancak önceki olaylarda, genellikle kendi kişisel kazançları için super bilgisayarı kullanan çalışanlar görülmüştü.
[1] ARCHER Status
[2] BWHPC News
[3] Fefes Blog
[4] HPC systems closed for access due to a security issue
[5] Supercomputer Systems and Central Services by JSC
[7] SHUTDOWN AFTER CYBER-INCIDENT