Bestätigte Infektionen wurden in Großbritannien, Deutschland und der Schweiz gemeldet. Eine weitere vermutete Infektion wurde in Spanien gemeldet.
Mehrere Supercomputer in ganz Europa sind diese Woche mit einer Cryptocurrency-Mining-Malware infiziert worden und wurden runtergefahren, um die Einbrüche zu untersuchen. Sicherheitsvorfälle wurden aus Großbritannien, Deutschland und der Schweiz gemeldet, während ein ähnlicher Einbruch angeblich auch in einem Hochleistungsrechenzentrum in Spanien stattgefunden haben soll.
Der erste Bericht über einen Angriff kam am Montag von der Universität Edinburgh, die den Supercomputer ARCHER betreibt, ans Licht. Die Organisation berichtete von „Sicherheitsausbeutung auf den ARCHER-Anmeldeknoten“, schaltete das ARCHER-System zur Untersuchung ab und setzte SSH-Passwörter zurück, um weitere Einbrüche zu verhindern.
Das bwHPC, die Organisation, die Forschungsprojekte über Supercomputer im Bundesland Baden-Württemberg koordiniert, gab am Montag ebenfalls bekannt, dass fünf seiner Hochleistungscomputer-Cluster wegen ähnlicher „Sicherheitsvorfälle“ abgeschaltet werden mussten. Dies schloss ein:
• Der Supercomputer Hawk am Höchstleistungsrechenzentrum Stuttgart (HLRS) der Universität Stuttgart
• Die Cluster bwUniCluster 2.0 und ForHLR II am Karlsruher Institut für Technologie (KIT)
• Das bwForCluster JUSTUS Chemie und quantenwissenschaftlicher Supercomputer an der Universität Ulm
• Der Bioinformatik-Supercomputer bwForCluster BinAC an der Universität Tübingen
Die Berichte wurden am Mittwoch fortgesetzt, als der Sicherheitsforscher Felix von Leitner in einem Blog-Beitrag behauptete, dass auch ein Supercomputer in Barcelona, Spanien, von einem Sicherheitsproblem betroffen sei und deshalb abgeschaltet wurde.
Weitere Zwischenfälle tauchten am nächsten Tag, am Donnerstag, auf. Der erste kam vom Leibniz-Rechenzentrum (LRZ), einem Institut der Bayerischen Akademie der Wissenschaften, der sagte, ein Rechencluster sei nach einem Sicherheitsverstoß vom Internet getrennt worden.
Auf die Ankündigung des LRZ folgte im Laufe des Tages eine weitere des Forschungszentrums Jülich in der Stadt Jülich. Die Beamten sagten, dass sie die Supercomputer JURECA, JUDAC und JUWELS nach einem „IT-Sicherheitsvorfall“ abschalten mussten.
Auch heute, am Samstag, kamen neue Verstöße ans Tageslicht. Der deutsche Wissenschaftler Robert Helling veröffentlichte eine Analyse der Malware, die einen Hochleistungscomputer-Cluster an der Fakultät für Physik der Ludwig-Maximilians-Universität München infizierte.
Auch das Schweizerische Zentrum für Wissenschaftliche Berechnungen (CSCS) in Zürich (Schweiz) hat den externen Zugang zu seiner Supercomputer-Infrastruktur nach einem „Cyber-Zwischenfall“ und „bis zur Wiederherstellung einer sicheren Umgebung“ abgeschaltet.
ANGREIFER ERHIELTEN ZUGANG ÜBER KOMPROMITTIERENDE SSH-LOGINS
Keine der oben genannten Organisationen veröffentlichte Einzelheiten über die Einbrüche. Heute Morgen hat jedoch das Computer Security Incident Response Team (CSIRT) für die European Grid Infrastructure (EGI), eine gesamteuropäische Organisation, die die Forschung an Supercomputern in Europa koordiniert, Malware-Samples und Indikatoren für Netzwerk-Kompromittierungen aus einigen dieser Vorfälle veröffentlicht.
Die Malware-Samples wurden heute Morgen von Cado Security, einer in den USA ansässigen Cyber-Sicherheitsfirma, überprüft. Das Unternehmen sagte, die Angreifer hätten sich offenbar über kompromittierte SSH-Zugangsdaten Zugang zu den Supercomputer-Clustern verschafft.
Die Berechtigungsnachweise scheinen von Universitätsangehörigen gestohlen worden zu sein, denen Zugang zu den Supercomputern gewährt wurde, um Rechenjobs auszuführen. Die entführten SSH-Logins gehörten Universitäten in Kanada, China und Polen.
Chris Doman, Mitbegründer von Cado Security, sagte heute gegenüber ZDNet, dass es zwar keine offiziellen Beweise dafür gebe, dass alle Einbrüche von derselben Gruppe durchgeführt wurden, dass aber Beweise wie ähnliche Malware-Dateinamen und Netzwerkindikatoren darauf hindeuteten, dass es sich um denselben Bedrohungsakteur handeln könnte.
Laut Domans Analyse haben die Angreifer, nachdem sie Zugang zu einem Supercomputing-Knotenpunkt erlangt hatten, offenbar einen Exploit für die CVE-2019-15666-Schwachstelle genutzt, um Root-Zugriff zu erlangen, und dann eine Anwendung eingesetzt, die die Kryptowährung Monero (XMR) abgebaut hat.
Erschwerend kam hinzu, dass viele der Organisationen, bei denen in dieser Woche Supercomputer ausgefallen waren, in den Vorwochen angekündigt hatten, dass sie der Erforschung des COVID-19-Ausbruchs, der nun höchstwahrscheinlich durch das Eindringen und die anschließende Ausfallzeit behindert wurde, Vorrang einräumen würden.
NICHT DER ERSTE VORFALL DIESER ART
Diese Vorfälle sind nicht die ersten dieser Art. Es wurden schon öfters Crypto-Mining-Malwares auf einem Supercomputer installiert. Es ist jedoch das erste Mal, dass Hacker dies taten. Bei früheren Vorfällen war es in der Regel ein Angestellter, der den Cryptocurrency Miner zu seinem persönlichen Vorteil installiert hat.
Zum Beispiel verhafteten die russischen Behörden im Februar 2018 Ingenieure des Russischen Nuklearzentrums, weil sie den Supercomputer der Behörde für den Abbau von Krypto-Währung genutzt hatten.
Einen Monat später begannen australische Beamte im Bureau of Meteorology mit der Untersuchung eines ähnlichen Falles, bei dem Mitarbeiter den Supercomputer der Behörde zum minen von Krypto-Währung nutzten.