İngiltere’nin Ulusal Süper Bilgisayar Hizmeti ARCHER, oturum açma bilgilerinin kullanılmasının ardından, sistemine erişimi durduran ilk kuruluş oldu. Olayla ilgili araştırma devam ediyor ancak kuruluşun web sitesindeki bildirime göre, tüm mevcut Secure Shell (SSH) anahtarları ve ARCHER parolaları yeniden yazılacak ve eskileri artık geçerli olmayacak. Merkez şu açıklamada bulundu: “ARCHER yeniden hizmet vermeye başladığında, tüm kullanıcılardan hizmete erişirken iki kimlik bilgisi girmeleri istenecektir: şifreli bir SSH anahtarı ve ARCHER parolası.”
İkinci sırada Almanya var
Bu sıralarda, Almanya’nın Baden-Württemberg Yüksek Performanslı Bilgisayar Merkezi de kendi web sitesinden aynı gün saldırıya uğradığını ve kümelerinin beşini çevrimdışı olarak çalıştıracağını duyurdu.
Ancak burası, hedef alınan tek Alman süper bilgisayar merkezi değildi. Bir gün sonra Leibniz Süper Bilgisayar Merkezi, sistemini geçici olarak erişime kapattığını, hemen sonrasında da Jürich Süper Bilgisayar Merkezi, bir ‘güvenlik olayı‘ nedeniyle çevrimdışı duruma geçtiğini duyurdu.
Teknoloji basını, Almanya’daki dokuz kadar süper bilgisayarın saldırılara kurban gitmiş olabileceğini paylaştı.
İsviçre’deki merkez de saldırıya uğradı
Hepsi bu kadar değil. İsviçre Ulusal Süper Bilgisayar Merkezi de saldırıya uğradığını bildirdi. Merkez, hafta sonu boyunca Avrupa’daki ve dünyadaki akademik merkezlerin siber saldırılarla mücadele ettiğini ve kötü amaçlı etkinlik tespit edildiğinden merkeze harici erişimi de kapattıklarını duyurdu.
Monero madenciliği yapmışlar
Avrupa Şebeke Altyapısı (EGI), ilgili olabilecek veya olmayabilecek güvenlik olaylarından ikisini araştıran Bilgisayar Güvenliği Olay Müdahale Ekibi’nin (EGI-CSIRT) bulgularını yayınladı. Analizlerine göre kötü niyetli kişiler, sistemlere erişmek ve Monero madenciliği yapmak için, ele geçirilmiş SSH kimlik bilgilerini kullanmış. EGI-CSIRT, Avrupa’nın yanı sıra Çin ve Kuzey Amerika’da da kurbanlar olduğuna dikkat çekti; ancak SSH kimlik bilgilerinin nasıl çalındığını teyit edemedi.
Saldırganlarla ilgili açıklama yok
Saldırıların tek bir kişi veya çeşitli gruplar tarafından gerçekleştirilip gerçekleştirilmediğine dair resmî bir açıklama yok. Ancak hedefler benzer olduğundan ve saldırılar bir hafta boyunca gerçekleştirildiğinden aralarında bir ilişki olabileceği düşünülüyor.
Süper bilgisayarlara ilk defa tamamen uzaktan saldırıldı
Saldırıları mercek altına alan ESET Güvenlik Uzmanı Jake Moore, şu tespitlerde bulundu: “Korsanların süper bilgisayarları ilk kez tamamen uzaktan hedeflediği anlaşılıyor, oysa daha önce saldırı için kullanılan, kripto madenciliğine yönelik kötü amaçlı yazılımları yükleyen bir iç tehdit olurdu. Şimdi, tüm SSH giriş bilgilerinin sıfırlanması gerekiyor. Bu biraz zaman alabilir, ancak gelecek saldırıları durdurmak için çok önemli. Bir kimlik bilgisi listesi ele geçirildiğinde bu sıfırlama işlemi zamana karşı bir yarış haline geliyor. Maalesef, kötü niyetli kişilerin madencilik yazılımından yararlanabilmeleri için genellikle hazırlık süresi yeterli oluyor.”
