Hàng loạt siêu máy tính bị hack để đào tiền ảo
Hơn 10 siêu máy tính đang đặt tại một số nước châu Âu bị nhiễm mã độc khai thác tiền ảo.
Theo Zdnet, các sự cố an ninh xảy ra đã được xác nhận tại Anh, Đức và Thụy Sĩ. Bên cạnh đó, một vụ xâm nhập siêu máy tính tương tự cũng nhằm vào trung tâm điện toán hiệu năng cao ở Tây Ban Nha, nhưng đang trong quá trình điều tra.
Sức mạnh của siêu máy tính đang được ứng dụng để nghiên cứu nhiều lĩnh vực về khoa học, công nghệ.
Đại học Edinburgh (Anh), nơi đặt siêu máy tính Archer, bị tấn công đầu tiên vào hôm 11/5. Hiện cỗ máy này chuyển sang hoạt động ngoại tuyến, đồng thời được đặt lại mật khẩu và cấu hình lại hệ thống đăng nhập để ngăn chặn sự cố tương tự trong tương lai. Archer đang được dùng để chạy mô phỏng sự lây lan của Covid-19.
Video đang HOT
Đức là nơi có nhiều siêu máy tính bị tấn công nhất với ít nhất 10 trường hợp. BwHPC, tổ chức điều phối các dự án nghiên cứu trên siêu máy tính tại thành phố Baden-Wurmern, cho biết, năm cụm máy tính hiệu năng cao tại Đại học Stuttgart, Viện Công nghệ Karlsruhe (KIT), Đại học Ulm và Đại học Tbingen đã ngừng hoạt động do “sự cố bảo mật” như Archer.
Ngày 14/5, Trung tâm điện toán Leibniz (LRZ), Cơ quan thuộc Viện hàn lâm Khoa học Bavaria, xác nhận đã ngắt kết nối một cụm máy tính khỏi Internet do bị tấn công. Một ngày sau thông báo của LRZ, ba siêu máy tính ở thị trấn Julich buộc phải đặt chế độ ngoại tuyến do “sự cố bảo mật”. Đại học Kỹ thuật Dresden cũng tuyên bố đóng cửa siêu máy tính Taurus, trong khi một cụm máy tính hiệu năng cao tại Khoa Vật lý tại Đại học Ludwig-Maximilians ở Munich không thể hoạt động do “bị lây nhiễm phần mềm độc hại”.
Báo cáo từ nhà nghiên cứu bảo mật Felix von Leitner hôm 13/5 cũng cho biết, một siêu máy tính được đặt ở Barcelona (Tây Ban Nha) bị ảnh hưởng bởi vấn đề an ninh nhưng đang điều tra trước khi đưa ra kết luận chính thức. Ngoài ra, Trung tâm tính toán khoa học Thụy Sĩ (CSCS) cũng cho ngoại tuyến siêu máy tính sau “sự cố mạng” cho đến khi khôi phục toàn bộ hệ thống.
Chưa có tổ chức hoặc cá nhân nào đứng ra nhận trách nhiệm về các cuộc tấn công.
Theo phân tích của Nhóm ứng phó sự cố an ninh máy tính (CSIRT) cho Cơ sở hạ tầng mạng lưới châu Âu (EGI) – một tổ chức nghiên cứu về siêu máy tính tại châu Âu – và công ty an ninh mạng Cado Security có trụ sở tại Mỹ, kẻ tấn công đã giành được quyền truy cập hệ thống của siêu máy tính thông qua các khóa SSH (Secure Socket Shell) – một giao thức mạng được sử dụng để đăng nhập vào máy tính từ xa. Thông tin đăng nhập dường như đã bị hacker đánh cắp từ những thành viên được cấp quyền truy cập vào siêu máy tính để chạy các phân tích điện toán, chủ yếu ở Canada, Trung Quốc và Ba Lan.
Chris Doman, đồng sáng lập Cado Security, nói rằng, chưa có bằng chứng cho thấy tất cả các cuộc tấn công được thực hiện bởi một nhóm hacker. Tuy nhiên, cách thức tấn công và tệp độc hại được sử dụng gần như tương tự nhau. Chuyên gia này cũng cho biết hacker đã tận dụng lỗ hổng CVE-2019-15666 trong nhân Linux 5.0.19 trở về trước để có quyền truy cập root, sau đó chèn vào ứng dụng khai thác tiền điện tử Monero (XMR). “Nhiều tổ chức đang sử dụng siêu máy tính để nghiên cứu Covid-19. Nhiều công đoạn có thể đã bị cản trở bởi các cuộc tấn công”, Doman nói.
Đây không phải là lần đầu tiên siêu máy tính bị lợi dụng để đào tiền ảo. Tháng 2/2018, Nga đã bắt nhóm kỹ sư thuộc Trung tâm hạt nhân quốc gia vì lợi dụng siêu máy tính để đào tiền ảo. Tại Australia, một số nhân viên tại Cục khí tượng nước này cũng làm điều tương tự, nhưng bị bắt sau đó.
USB chứa botnet đào tiền ảo lây nhiễm 35.000 máy tính chạy Windows
Công ty nghiên cứu bảo mật ESET cho biết vừa xử lý một phần của mạng lưới chương trình độc hại đã lây nhiễm trên 35.000 máy tính sử dụng hệ điều hành Windows có nhiệm vụ đào tiền ảo cho hacker.
Botnet lợi dụng USB để lây lan nên rất khó để triệt tiêu hoàn toàn
Mạng botnet có tên VictoryGate hoạt động từ tháng 5.2019, lây nhiễm chủ yếu ở khu vực Mỹ Latin, đặc biệt là Peru, nơi có tới hơn 90% số thiết bị dính chương trình độc hại này.
"Hoạt động chính của botnet này là đào tiền ảo Monero. Nạn nhân bao gồm cả các tổ chức cộng đồng lẫn tư nhân, trong đó có những đơn vị tài chính", nhóm nghiên cứu tại ESET chia sẻ.
Đơn vị cho biết đã dùng dải DNS động để xử lý các máy chủ C2 (ra lệnh và điều khiển) độc hại, tạo ra tên miền giả (DNS Sinkhole) để theo dõi hoạt động của botnet. Dữ liệu từ đây cho thấy có khoảng 2.000 tới 3.500 máy tính đã nhiễm chương trình độc hại kết nối tới máy chủ C2 hằng ngày trong suốt tháng 2 và 3 năm nay.
VictoryGate truyền qua các thiết bị di động (ví dụ USB), sau khi máy tính nạn nhân kết nối với thiết bị này, chương trình sẽ cài đặt một gói tập tin độc hại vào hệ thống, sau đó kết nối với máy chủ C2 rồi nhận thêm một gói dữ liệu để đưa mã ngẫu nhiên vào các tiến trình hợp pháp trên nền tảng Windows, ví dụ đưa phần mềm đào tiền ảo XMRig vào tiến trình ucsvc.exe (Boot File Servicing Utility), từ đó tiến hành đào tiền Monero (một trong các loại tiền ảo hiện nay).
"Từ những dữ liệu thu được trong quá trình sử dụng DNS Sinkhole, chúng tôi có thể xác minh rằng mỗi ngày có trung bình 2.000 máy bị lợi dụng để đào tiền. Với một vài phép tính không khó để nhận ra tác giả của chiến dịch này kiếm được tối thiểu 80 Monero, tức xấp xỉ 6.000 USD chỉ từ botnet trên", ESET nói.
Với việc sử dụng USB như một công cụ phát tán, ESET cảnh báo các trường hợp lây nhiễm có thể diễn ra trong tương lai. Theo THN, một lượng đáng kể máy chủ C2 bị xử lý khiến botnet không thể nhận gói thứ cấp để tiến hành nhiệm vụ, nhưng các máy đã nhiễm trước đó vẫn tiếp tục đào tiền Monero.
Anh Quân
Fugaku, siêu máy tính mới của Nhật chiến Covid-19 như anh hùng manga: sức mạnh mới đạt 1/6 mà đã hơn "người" tiền nhiệm 8 lần Siêu máy tính Fugaku sẽ tìm ra một (hoặc nhiều) thuốc trong tổ hợp có sẵn, nhằm tìm ra cách thức chữa trị Covid-19 hiệu quả nhất. Nhật Bản đang tận dụng sức mạnh của siêu máy tính mới nhất họ vừa chế tạo để chống lại đại dịch Covid-19. Dù rằng cỗ máy này chưa hoàn thiện, nhưng lịch trình khởi động...