Hàng loạt siêu máy tính bị hack để đào tiền ảo

Theo Zdnet, các sự cố an ninh xảy ra đã được xác nhận tại Anh, Đức và Thụy Sĩ. Bên cạnh đó, một vụ xâm nhập siêu máy tính tương tự cũng nhằm vào trung tâm điện toán hiệu năng cao ở Tây Ban Nha, nhưng đang trong quá trình điều tra.

Đại học Edinburgh (Anh), nơi đặt siêu máy tính Archer, bị tấn công đầu tiên vào hôm 11/5. Hiện cỗ máy này chuyển sang hoạt động ngoại tuyến, đồng thời được đặt lại mật khẩu và cấu hình lại hệ thống đăng nhập để ngăn chặn sự cố tương tự trong tương lai. Archer đang được dùng để chạy mô phỏng sự lây lan của Covid-19.

Đức là nơi có nhiều siêu máy tính bị tấn công nhất với ít nhất 10 trường hợp. BwHPC, tổ chức điều phối các dự án nghiên cứu trên siêu máy tính tại thành phố Baden-Wurmern, cho biết, năm cụm máy tính hiệu năng cao tại Đại học Stuttgart, Viện Công nghệ Karlsruhe (KIT), Đại học Ulm và Đại học Tübingen đã ngừng hoạt động do "sự cố bảo mật" như Archer.

Ngày 14/5, Trung tâm điện toán Leibniz (LRZ), Cơ quan thuộc Viện hàn lâm Khoa học Bavaria, xác nhận đã ngắt kết nối một cụm máy tính khỏi Internet do bị tấn công. Một ngày sau thông báo của LRZ, ba siêu máy tính ở thị trấn Julich buộc phải đặt chế độ ngoại tuyến do "sự cố bảo mật". Đại học Kỹ thuật Dresden cũng tuyên bố đóng cửa siêu máy tính Taurus, trong khi một cụm máy tính hiệu năng cao tại Khoa Vật lý tại Đại học Ludwig-Maximilians ở Munich không thể hoạt động do "bị lây nhiễm phần mềm độc hại".

Báo cáo từ nhà nghiên cứu bảo mật Felix von Leitner hôm 13/5 cũng cho biết, một siêu máy tính được đặt ở Barcelona (Tây Ban Nha) bị ảnh hưởng bởi vấn đề an ninh nhưng đang điều tra trước khi đưa ra kết luận chính thức. Ngoài ra, Trung tâm tính toán khoa học Thụy Sĩ (CSCS) cũng cho ngoại tuyến siêu máy tính sau "sự cố mạng" cho đến khi khôi phục toàn bộ hệ thống.

Chưa có tổ chức hoặc cá nhân nào đứng ra nhận trách nhiệm về các cuộc tấn công.

Theo phân tích của Nhóm ứng phó sự cố an ninh máy tính (CSIRT) cho Cơ sở hạ tầng mạng lưới châu Âu (EGI) - một tổ chức nghiên cứu về siêu máy tính tại châu Âu - và công ty an ninh mạng Cado Security có trụ sở tại Mỹ, kẻ tấn công đã giành được quyền truy cập hệ thống của siêu máy tính thông qua các khóa SSH (Secure Socket Shell) - một giao thức mạng được sử dụng để đăng nhập vào máy tính từ xa. Thông tin đăng nhập dường như đã bị hacker đánh cắp từ những thành viên được cấp quyền truy cập vào siêu máy tính để chạy các phân tích điện toán, chủ yếu ở Canada, Trung Quốc và Ba Lan.

Chris Doman, đồng sáng lập Cado Security, nói rằng, chưa có bằng chứng cho thấy tất cả các cuộc tấn công được thực hiện bởi một nhóm hacker. Tuy nhiên, cách thức tấn công và tệp độc hại được sử dụng gần như tương tự nhau. Chuyên gia này cũng cho biết hacker đã tận dụng lỗ hổng CVE-2019-15666 trong nhân Linux 5.0.19 trở về trước để có quyền truy cập root, sau đó chèn vào ứng dụng khai thác tiền điện tử Monero (XMR). "Nhiều tổ chức đang sử dụng siêu máy tính để nghiên cứu Covid-19. Nhiều công đoạn có thể đã bị cản trở bởi các cuộc tấn công", Doman nói.

Đây không phải là lần đầu tiên siêu máy tính bị lợi dụng để đào tiền ảo. Tháng 2/2018, Nga đã bắt nhóm kỹ sư thuộc Trung tâm hạt nhân quốc gia vì lợi dụng siêu máy tính để đào tiền ảo. Tại Australia, một số nhân viên tại Cục khí tượng nước này cũng làm điều tương tự, nhưng bị bắt sau đó.