Hacker greifen europäische Supercomputer mit Cryptominern an

Mehrere Supercomputer in Europa wurden in der vergangenen Woche mit einer Malware zum Schürfen von Kryptowährungen infiziert. Die unbekannten Täter nahmen unter anderem Systeme in Großbritannien, Deutschland und der Schweiz ins Visier. Einige der Hochleistungscomputer mussten im Rahmen der Untersuchungen abgeschaltet werden.

Den ersten Vorfall meldete vor einer Woche die University of Edinburgh. Sie meldete einen Angriff auf die Login-Nodes des Supercomputers Archer. Um weitere Eindringversuche abzuwehren sei das System heruntergefahren und die SSH-Passwörter zurückgesetzt worden.

Hierzulande traf es mehrere Mitglieder des bwHPC, dem zehn Universitäten in Baden-Württemberg angehören, darunter der Hawk-Supercomputer der Universität Stuttgart, den bwUniCluster 2.0 sowie den ForHLR-II-Cluster am Karlsruhe Institute of Technology, der bwForCluster Justus an der Universität ULM und der bwForCluster an der Universität Tübingen.

Am Donnerstag räumte das Leibniz Rechenzentrum der Bayerischen Akademie der Wissenschaften ein ebenfalls einen Einbruch in seine Systeme ein. Als Folge sein ein Computing Cluster vom Internet getrennt worden. Am selben Tag schaltete auch das Forschungszentrum Jülich die Supercomputer Jureca, Judac und Juwels ab. Aus einer am Wochenende veröffentlichten Analyse der Malware des Forschers Robert Helling geht hervor, dass auch eine HPC-Cluster der Physikfakultät der Ludwig-Maximilians-Universität in München infiziert wurde.

Schließlich meldete auch das Swiss Center of Scientific Calculations in Zürich, dass es den externen Zugang zu seiner Supercomputer-Infrastruktur abgeschaltet hat. Auch in dieser Meldung in von einem Cyber-Vorfall die Rede.

Zu den Details der Attacken äußerten sich die betroffenen Einrichtungen bisher nicht. Allerdings veröffentlichte das Computer Security Incident Response Team der European Grid Infrastructure, die die Forschung an Supercomputern in Europa koordiniert, Muster der Schadsoftware sowie Informationen über mögliche Hinweise, die auf eine Infektion schließen lassen.

Die Muster wurden unter anderem vom US-Sicherheitsanbieter Cado Security untersucht. Demnach kompromittierten die Angreifer die Supercomputer über gestohlene SSH-Anmeldedaten. Die Anmeldedaten wiederum gehörten Universitäten in China, Kanada und Polen. Laut Chris Doman, Mitgründer von Cado Security, gibt es zwar keine eindeutigen Belege dafür, dass alle Vorfälle auf das Konto eines Angreifers gehen, ähnliche Dateinamen der Malware legten dies jedoch nahe.

So sollen die Angreifer stets einen Exploit für eine Schwachstelle mit der Kennung CVE-2019-15666 eingesetzt haben, um sich Root-Rechte zu verschaffen. So hätten sie eine Anwendung eingeschleust, die die Kryptowährung Monero generiert.

Die Angriffe haben möglicherweise Auswirkungen auf die Erforschung der COVID-19-Pandemie. Einige der nun abgeschalteten Systeme hatten in den vergangenen Wochen angekündigt, die Forschung am neuartigen Corona-Virus zu priorisieren.