Supercomputer in Europa waren Ziele von Hackerattacken. Faktisch sind externe SSH-Zugänge kompromittiert worden, um Monero zu minen.
In den vergangenen Tagen sind mehrere Supercomputer in Europa das Ziel eines Hackangriffes geworden. Die Angreifer nutzten hierbei gestohlene Secure Shell (SSH)-Zugänge zum Eindringen in die Systeme, mit dem Ziel, Monero zu minen, wie zdnet berichtet.
Bereits in der vergangenen Woche fielen mehrere Supercomputer einer Cyberattacke zum Opfer. Darunter waren Systeme in Großbritannien, Deutschland und der Schweiz. Das vermeldeten unter anderem das Forschungszentrum Jülich, das Swiss Center of Scientific Calculations in Zürich und die University of Edinburgh, die den Supercomputer Archer betreibt. Hier in Deutschland betrifft es das NEMO in Freiburg. Dazu kommen mehrere Mitglieder des bwHPC, dem zehn Universitäten in Baden-Württemberg angehören. Darunter den Hawk-Supercomputer der Universität Stuttgart, ferner den bwUniCluster 2.0, den ForHLR-II-Cluster am Karlsruhe Institute of Technology (KIT), den bwForCluster Justus an der Universität ULM und den bwForCluster an der Universität Tübingen und das Leibniz Supercomputing Centre in Garching bei München.
Initiierung von Abschaltungen aufgrund vorgenommener Untersuchungen
Sowohl das Leibniz-Zentrum, als auch Stuttgart bestätigten die Angriffe auf ihrer Website als „Sicherheitsvorfall“ im „Hochleistungsrechner“. Einige Hochleistungscomputer hat man im Rahmen der Untersuchungen abgeschaltet. Die zuständigen Behörden sind informiert. Weitere, nähere Details zum Angriff gaben die Einrichtungen jedoch nicht bekannt.
Das Computer Security Incident Response Team der European Grid Infrastructure, die die Forschung an Supercomputern in Europa koordiniert, informierte jedoch darüber, dass sowohl Muster der Schadsoftware, als auch Informationen über mögliche Hinweise, auf eine Infektion schließen lassen. Gemäß Untersuchungen des US-Sicherheitsanbieter Cado Security, nutzten die Angreifer gestohlene SSH-Anmeldedaten zum Hacken der Supercomputer. Die Anmeldedaten befanden sich ursprünglich im Besitz von Universitäten in China, Kanada und Polen. Chris Doman, Mitgründer von Cado Security, vermutet, dass es sich um nur einen Angreifer handeln könnte. Das belegten ähnliche Dateinamen der Malware.
Supercomputer mit Malware zwecks Kryptomining infiziert
Demgemäß hätten die Angreifer stets einen Exploit für eine Schwachstelle mit der Kennung CVE-2019-15666 verwendet. Auf die Art verschafften sie sich Root-Rechte, um eine Anwendung einzuschleusen, die die Kryptowährung Monero mint. Gerade die Hochleistungscomputer bieten ein lukratives Ziel für einen solchen Angriff, denn durch die gegebene Rechenleistung ist ein besonders effektives Mining gewährleistet.
Wer konkret hinter den Angriffen steckt, ist derzeit noch unbekannt. Genauso wenig weiß man bisher, ob und welche Daten gestohlen wurden. Eventuell haben die Angriffe sogar Auswirkungen auf die COVID-19-Pandemie-Erforschung. Vor den Angriffen gaben einige Einrichtungen an, den Forschungen mittels der Supercomputer Vorrang einzuräumen. Das Vorhaben muss nun aufgrund der Systemabschaltungen verschoben werden.
Tarnkappe.info
