Mehrere Supercomputer in ganz Europa wurden mit Cryptocurrency-Mining-Malware infiziert
19. Mai 2020Mehrere Supercomputer in ganz Europa wurden mit Cryptocurrency-Mining-Malware infiziert
Brüssel, 19.5.2020
Der erste Bericht über einen Angriff kam am Montag vergangener Woche von der Universität Edinburgh, die den Supercomputer ARCHER betreibt. Die Organisation berichtete von „Sicherheitsausbeutung auf den ARCHER-Anmeldeknoten.“ Das ARCHER-System wurde abgeschaltet und die SSH- Passwörter zurückgesetzt, um die Vorgänge zu untersuchen und weitere Einbrüche zu verhindern.
Das bwHPC, die Organisation, die Forschungsprojekte über Supercomputer im Bundesland Baden-Württemberg koordiniert, gab ebenfalls am Montag bekannt, dass fünf seiner Hochleistungscomputer-Cluster aufgrund ähnlicher „Sicherheitsvorfälle“ heruntergefahren werden mussten. Dies schloss ein: Der Supercomputer Hawk am Höchstleistungsrechenzentrum Stuttgart (HLRS) der Universität Stuttgart, die Cluster bwUniCluster 2.0 und ForHLR II am Karlsruher Institut für Technologie (KIT), das bwForCluster JUSTUS Chemie und quantenwissenschaftlicher Supercomputer an der Universität Ulm sowie der Bioinformatik-Supercomputer bwForCluster BinAC an der Universität Tübingen.
Die Berichte wurden am Mittwoch fortgesetzt, als der Sicherheitsforscher Felix von Leitner in einem Blog-Beitrag behauptete, dass auch ein Supercomputer in Barcelona, Spanien, von einem Sicherheitsproblem betroffen sei und deshalb abgeschaltet wurde.
Weitere Vorfälle wurden am Donnerstag registriert. Der erste kam vom Leibniz-Rechenzentrum (LRZ), einem Institut der Bayerischen Akademie der Wissenschaften. In einer Mitteilung hieß es, dass ein Rechencluster nach einem Sicherheitsverstoß vom Internet getrennt wurde. Es folgte später am Tag das Forschungszentrum Jülich . In einer Mitteilung hiess es , dass sie die Supercomputer JURECA, JUDAC und JUWELS nach einem „IT-Sicherheitsvorfall“ abgeschaltet werden mussten. Auch die Technische Universität Dresden gab bekannt, dass sie ihren Taurus-Supercomputer vom Netz nehmen mußten.
Der deutsche Wissenschaftler Robert Helling veröffentlichte eine Analyse über die Malware, die einen Hochleistungscomputer-Cluster an der Fakultät für Physik der Ludwig-Maximilians-Universität München infizierte. Auch das Schweizerische Zentrum für Wissenschaftliche Berechnungen (CSCS) in Zürich (Schweiz) hat nach einem „Cyber-Unfall“ den externen Zugriff auf seine Supercomputer-Infrastruktur abgeschaltet, „bis eine sichere Umgebung wiederhergestellt ist“.
Zunächst hat keine der oben genannten Organisationen Einzelheiten über die Einbrüche veröffentlicht. Gestern holte das Computer Security Incident Response Team (CSIRT) für die European Grid Infrastructure (EGI), eine gesamteuropäische Organisation, die die Forschung an Supercomputern in Europa koordiniert, dies nach, indem sie Malware-Samples und Indikatoren für Netzwerk-Kompromittierungen aus einigen dieser Vorfälle veröffentlichte.
Die Malware-Samples wurden von Cado Security, einer in Großbritannien ansässigen Cyber-Sicherheitsfirma, überprüft. Das Unternehmen gab an, dass die Angreifer offenbar über kompromittierte SSH-Zugangsdaten Zugang zu den Supercomputer-Clustern erhalten haben.
Die Zugangsdaten scheinen von Universitätsangehörigen gestohlen worden zu sein, denen Zugang zu den Supercomputern gewährt wurde, um Rechenaufträge auszuführen. Die entführten SSH-Logins gehörten Universitäten in Kanada, China und Polen.
Chris Doman, Mitbegründer von Cado Security, meinte gegenüber ZDNet, es gebe zwar keine Beweise dafür , dass alle Einbrüche von derselben Gruppe durchgeführt wurden, jedoch würden ähnliche Malware-Dateinamen und Netzwerkindikatoren darauf hindeuten.
Laut Domans könnten die Angreifer, sobald sie Zugang zu einem Supercomputer-Knotenpunkt erlangt hatten, einen Exploit für die CVE-2019-15666-Schwachstelle genutzt haben, um Root-Zugriff zu erlangen und dann eine Anwendung einzusetzen, die die Krypto-Währung Monero (XMR) abgebaut hat.
Erschwerend kam hinzu, dass viele der vom Ausfall betroffenen Organisationen in den Vorwochen angekündigt hatten, dass sie der Erforschung des COVID-19-Ausbruchs Vorrang einräumen würden.
Diese Vorfälle sind nicht nicht neu. Crypto-Mining-Malware wurde in früheren Fällen auch schon von Angestellten installiert, um dadurch Vorteile zu erhalten. Diesmal kam der Angriff jedoch von Hackern.
