เมื่อสัปดาห์ที่ผ่านมา มีรายงานยืนยันว่าพบ Supercomputer ในยุโรป โดนโจมตีด้วย Cryptocurrency Mining Malware ทำให้เครื่องถูก Shut down เป็นจำนวนมาก ซึ่งการโจมตีครั้งนี้เป้าหมายคือ เครื่อง Supercomputer ในประเทศต่าง ๆ เช่น สหราชอาณาจักร เยอรมนี สเปน และสวิตเซอร์แลนด์ เป็นต้น ในการรายงานยืนยันว่าถูกพบจากทีม Computer Security Incident Response Team (CSIRT) ของ European Grid Infrastructure (EGI) ที่ปล่อยตัวอย่าง malware ที่ตรวจพบออกมาให้ทุกคนได้รับทราบ ซึ่งทาง Cado Security บริษัทด้าน cyber-security ของสหรัฐฯ ได้นำข้อมูลตัวอย่างจากทีม CSIRT นั้นไปวิเคราะห์ จึงพบว่าการโจมตีเริ่มต้นมาจากการใช้ SSH credencials ที่คาดว่าขโมยมาจากผู้ที่มีสิทธิ์ และยังพบว่า hijacked SSH logins นั้นมาจากมหาวิทยาลัยในประเทศแคนนาดา, จีน และโปแลนด์ ซึ่ง Chris Doman ผู้ร่วมก่อตั้ง Cado Security ได้ให้ข้อมูลกับ ZDNet ว่ายังไม่มีหลักฐานที่ชัดเจนว่าการโจมตีเครื่อง Supercomputer ในช่วงสัปดาห์ที่ผ่านมานั้น เป็นการกระทำของแฮกเกอร์กลุ่มเดียวกันหรือไม่ ซึ่งก่อนหน้านี้ได้มีพนักงานในทีมที่แอบติดตั้ง miner cryptocurrency เพื่อผลประโยชน์ส่วนตัวด้วยเช่นกัน แต่จากข้อมูลดังกล่าวนั้น พบว่าวิธีการโจมตีใกล้เคียงกันมาก โดยจะใช้ช่องโหว่ CVE-2019-15666 เพื่อเข้าถึงสิทธิ์ root จากนั้นจะใช้ทรัพยากรของเครื่อง Supercomputer เหล่านั้นขุด Monero (XMR) cryptocurrency

เป็นที่น่าสนใจว่าการโจมตีครั้งนี้มีเป้าหมายเพียงเพื่อใช้ทรัพยากรของเครื่องขุดหา cryptocurrency อย่างเดียว หรือมีเจตนาอื่นแอบแฝง เนื่องจากองค์กรที่ตกเป็นเหยื่อนั้นกำลังทำการวิจัยเกี่ยวกับ Covid-19 ซึ่งการโจมตีครั้งนี้ส่งผลให้การวิจัยอาจจะต้องหยุกชะงัก

สรุปไทม์ไลน์การโจมตีได้ดังนี้

11 พฤษภาคม 2020

เริ่มต้นจาก University of Edinburgh มหาวิทยาลัยชื่อดังของสหราชอาณาจักร ได้รายงานว่าเครื่อง ARCHER Supercomputer ของพวกเขาถูกโจมตี โดยเบื้องต้นได้ทำการ shut down พร้อมกับ reset SSH password เพื่อป้องกันการโจมตีที่อาจจะเกิดขึ้นอีก และในวันเดียวกันนั้น The bwHPC องค์กรที่ทำ research projects เกี่ยวกับ supercomputer ประเทศเยอรมนี ได้ประกาศ shut down เครื่อง supercomputer ถึง 5 เครื่องของมหาวิทยาลัยในรัฐ Baden-Württemberg เนื่องจากเกิด security incidents

13 พฤษภาคม 2020

Felix von Leitner ผู้เชี่ยวชาญด้าน IT security โพสลงใน blog ส่วนตัวของเขาว่าเครื่อง supercomputer ในเมืองบาร์เซโลน่า ประเทศสเปน ก็ได้ถูก shut down ด้วยเหตุผลทางด้านความปลอดภัยเช่นกัน

14 พฤษภาคม 2020

ยังคงมี security incident เกิดขึ้นอย่างต่อเนื่อง คราวนี้มีรายงานว่า Leibniz Computing Center (LRZ), Julich Research Center และ Technical University in Dresden ของประเทศเยอรมนี ทำการ shut down supercomputer ด้วย

16 พฤษภาคม 2020

สวิตเซอร์แลนด์ The Swiss Center of Scientific Computations (CSCS) แห่งเมืองซูริค ประกาศว่าพบ cyber-incident พร้อมกับปิดการเข้าถึง supercomputer ของพวกเขาจากเครือข่ายภายนอกไปจนกว่าจะกลับสู่สภาวะปกติ

อย่างไรก็ตามการโจมตีดังกล่าว ยังคงต้องติดตามกันต่อไป เพื่อคอยเฝ้าระวังและดูแนวโน้มว่าจะเปลี่ยนเป้าหมายจากการโจมตีเฉพาะต้องการขุดหา cryptocurrency อย่างเดียว หรือต้องการโจมตีด้านอื่นด้วย เพื่อที่ผู้เชี่ยวชาญ องค์กร และบริษัทรักษาความปลอดภัยไซเบอร์ หลาย ๆ แห่งจะสามารถรับมือและแก้ไขการโจมตีได้ทันท่วงที ก่อนที่จะเกิดเหตุการณ์ที่ร้ายแรงไปกว่านี้

ที่มา: https://www.zdnet.com/article/supercomputers-hacked-across-europe-to-mine-cryptocurrency/



เนื้อหาที่เกี่ยวข้อง

1. Ragnar Locker Ransomware ใช้ VM เข้ารหัสไฟล์ เลี่ยงการตรวจจับ

2. บริษัทใหญ่นับพัน โดนแอบขุดเหรียญ Crypto โดยกลุ่ม Blue Mockingbird

3. พบช่องโหว่ Privilege Escalation ใน Docker for Windows

4. Microsoft เตือน Phishing อ้างข้อมูล COVID19 ของ Johns Hopkins Center

5. พบ Spam iMessage ระบาด โดนจับโยง “ไทยชนะ”