Es wurde bekannt, dass diese Woche mehrere Supercomputer aus verschiedenen Ländern im europäischen Raum mit Malware zum Mining von Kryptowährungen infiziert wurden. Vorfälle dieser Art ereigneten sich in Großbritannien, Deutschland, der Schweiz und Spanien.
Der erste Bericht über den Angriff kam am Montag von der Universität Edinburgh, wo sich der Supercomputer ARCHER befindet. Eine entsprechende Meldung und eine Empfehlung zur Änderung von Benutzerpasswörtern und SSH-Schlüsseln wurden auf der Website der Einrichtung veröffentlicht.
Am selben Tag kündigte die Organisation BwHPC, die Forschungsprojekte zu Supercomputern koordiniert, die Notwendigkeit an, den Zugang zu fünf Rechenclustern in Deutschland zu sperren, um „Sicherheitsvorfälle“ zu untersuchen.
Die Berichte wurden am Mittwoch fortgesetzt, als der Sicherheitsforscher Felix von Leitner bloggte, dass der Zugang zu einem Supercomputer in Barcelona, Spanien, gesperrt worden sei, während eine Untersuchung des Cybersicherheitsvorfalls durchgeführt wurde.
Am nächsten Tag kamen ähnliche Meldungen vom Leibniz-Rechenzentrum, einem Institut der Bayerischen Akademie der Wissenschaften, sowie vom Forschungszentrum Jülich in der gleichnamigen deutschen Stadt. Beamte gaben bekannt, dass der Zugang zu den Supercomputern JURECA, JUDAC und JUWELS aufgrund eines „Informationssicherheitsvorfalls“ gesperrt wurde. Darüber hinaus hat das Schweizerische Zentrum für Wissenschaftliches Rechnen in Zürich nach dem Informationssicherheitsvorfall auch den externen Zugriff auf die Infrastruktur seiner Rechencluster gesperrt, „bis eine sichere Umgebung wiederhergestellt ist“.
Keine der genannten Organisationen hat Einzelheiten zu den aufgetretenen Vorfällen veröffentlicht. Allerdings hat das Information Security Incident Response Team (CSIRT), das die Supercomputing-Forschung in ganz Europa koordiniert, Malware-Beispiele und zusätzliche Daten zu einigen Vorfällen veröffentlicht.
Malware-Proben wurden von Spezialisten des amerikanischen Unternehmens Cado Security untersucht, das im Bereich Informationssicherheit tätig ist. Experten zufolge verschafften sich die Angreifer über kompromittierte Benutzerdaten und SSH-Schlüssel Zugang zu Supercomputern. Es wird auch vermutet, dass die Anmeldeinformationen von Mitarbeitern von Universitäten in Kanada, China und Polen gestohlen wurden, die Zugang zu Computerclustern hatten, um verschiedene Forschungsarbeiten durchzuführen.
Obwohl es keine offiziellen Beweise dafür gibt, dass alle Angriffe von einer einzigen Hackergruppe ausgeführt wurden, deuten ähnliche Malware-Dateinamen und Netzwerkkennungen darauf hin, dass die Angriffsserie von einer einzigen Gruppe ausgeführt wurde. Cado Security geht davon aus, dass Angreifer einen Exploit für die Schwachstelle CVE-2019-15666 nutzten, um auf Supercomputer zuzugreifen, und dann Software zum Mining der Monero-Kryptowährung (XMR) einsetzten.
Es ist erwähnenswert, dass viele der Organisationen, die diese Woche gezwungen waren, den Zugang zu Supercomputern zu sperren, zuvor angekündigt hatten, dass sie der COVID-19-Forschung Priorität einräumen würden.
Source: 3dnews.ru