Các cuộc tấn công vào các siêu máy tính được xác nhận đã xảy ra ở Anh, Đức và Thụy Sĩ và một vụ tấn công tương tự cũng được nghi ngờ xảy ra ở một trung tâm điện toán hiệu năng cao ở Tây Ban Nha.
Báo cáo đầu tiên về một cuộc tấn công được đưa ra ánh sáng vào ngày 11/5 từ Đại học Edinburgh của Anh, nơi điều hành siêu máy tính ARCHER. Tại Đức, tổ chức điều phối các dự án nghiên cứu trên các siêu máy tính ở bang Baden-Wurmern (BwHPC) cũng tuyên bố ngày 11/5 rằng 5 cụm máy tính hiệu năng cao của họ đã phải ngừng hoạt động do sự cố bảo mật tương tự.
Các báo cáo về sự cố bảo mật tiếp tục được đưa ra vào ngày 13/5 khi nhà nghiên cứu bảo mật Felix von Leitner tuyên bố trong một bài đăng trên blog rằng một siêu máy tính được đặt ở Barcelona, Tây Ban Nha cũng bị ảnh hưởng bởi một vấn đề an ninh và đã bị tắt.
Nhiều sự cố tiếp tục xảy ra vào ngày 14/5, từ Trung tâm điện toán Leibniz (LRZ), một viện thuộc Viện hàn lâm Khoa học Bavaria, cho biết họ đã ngắt kết nối một cụm máy tính khỏi mạng internet sau khi vi phạm an ninh.
Tại Trung tâm nghiên cứu Julich ở thị trấn Julich của Đức cũng đã ra tình trạng tương tự buộc họ đã phải tắt các siêu máy tính JURECA, JUDAC và JUWELS sau một sự cố bảo mật CNTT. Trong khi đó, Đại học Kỹ thuật ở Dresden cũng tuyên bố họ cũng phải tắt siêu máy tính Taurus của họ.
Ngày 16/5, nhà khoa học người Đức Robert Helling đã công bố một phân tích về phần mềm độc hại đã lây nhiễm một cụm máy tính hiệu năng cao tại Khoa Vật lý tại Đại học Ludwig-Maximilians ở Munich, Đức.
Trung tâm tính toán khoa học Thụy Sĩ (CSCS) tại Zurich, Thụy Sĩ cũng khóa truy cập từ bên ngoài vào cơ sở hạ tầng siêu máy tính của họ sau sự cố mạng và sẽ cho phép truy cập trở lại sau khi khôi phục được môi trường an toàn.
Hiện tại chưa có tổ chức nào ở trên công bố bất kỳ chi tiết nào về các cuộc xâm nhập. Tuy nhiên, Nhóm ứng phó sự cố an ninh máy tính (CSIRT) cho Cơ sở hạ tầng mạng lưới châu Âu (EGI), một tổ chức châu Âu phối hợp nghiên cứu về siêu máy tính trên khắp châu Âu, đã phát hành các mẫu phần mềm độc hại và các chỉ số thỏa hiệp mạng từ một số sự cố này.
Các mẫu phần mềm độc hại đã được xem xét trước đó bởi Cado Security, một công ty bảo mật mạng có trụ sở tại Hoa Kỳ. Công ty cho biết những kẻ tấn công dường như đã giành được quyền truy cập vào các cụm siêu máy tính thông qua một giao thức mạng được sử dụng để đăng nhập vào một máy tính từ xa gọi là SSH (Secure Socket Shell).
Thông tin đăng nhập dường như đã bị đánh cắp từ các thành viên của các Trường đại học được cấp quyền truy cập vào siêu máy tính để thực hiện các công việc điện toán. Các thông tin đăng nhập SSH bị tấn công thuộc về các trường đại học ở Canada, Trung Quốc và Ba Lan.
Chris Doman, đồng sáng lập công ty bảo mật mạng Cado Security, nói với ZDNet rằng, mặc dù không có bằng chứng chính thức nào để xác nhận rằng tất cả các cuộc xâm nhập đã được thực hiện bởi cùng một nhóm nhưng các bằng chứng như tên tệp phần mềm độc hại giống nhau và các chỉ số mạng cho thấy điều này có thể cùng một đối tượng gây ra.
Theo phân tích của Chris Doman, một khi những kẻ tấn công có được quyền truy cập vào nút siêu máy tính, chúng dường như đã sử dụng một khai thác cho lỗ hổng CVE-2019-15666 để có quyền truy cập root và sau đó triển khai một ứng dụng khai thác tiền điện tử Monero (XMR).
Vấn đề càng tồi tệ hơn khi nhiều tổ chức có siêu máy tính bị ảnh hưởng đã tuyên bố trong những tuần trước rằng họ đang ưu tiên sử dụng các siêu máy tính này để nghiên cứu về sự bùng phát Covid-19, hiện tại rất có thể việc nghiên cứu về Covid-19 đã bị cản trở do sự xâm nhập và thời gian ngừng hoạt động của các siêu máy tính này.
Đây không phải là lần đầu tiên mà phần mềm độc hại khai thác tiền điện tử được cài đặt trên các siêu máy tính. Tuy nhiên, điều này đánh dấu lần đầu tiên khi tin tặc làm điều này. Trong các sự cố trước đây, thường là một nhân viên đã cài đặt công cụ khai thác tiền điện tử vì lợi ích cá nhân của họ.
Chẳng hạn, vào tháng 2/2018, chính quyền Nga đã bắt các kỹ sư từ Trung tâm hạt nhân Nga vì sử dụng siêu máy tính của cơ quan này để khai thác tiền điện tử.
Một tháng sau, các quan chức Úc bắt đầu một cuộc điều tra về một trường hợp tương tự tại Cục Khí tượng, nơi các nhân viên đã sử dụng siêu máy tính của cơ quan này để khai thác tiền điện tử.
Phan Văn Hòa (theo ZDnet)