[English]Mehrere Hochleistungsrechner in Europa wurden von Cyber-Kriminellen angegriffen und sind inzwischen außer Betrieb genommen worden. So ganz klar ist noch nicht, was das Ziel des Angriffs war. Ergänzung: Nun ist klar, die Angreifer haben Krypto-Geld geschürft.
Anzeige
Hochleistungsrechner offline genommen
Es geht um Rechenzentren in Europa, in denen Hochleistungsrechner (Supercomputer) für die Forschung stehen. Dort werden z.B. Simulationen für die Suche nach Medikamenten gegen Covid-19 ablaufen gelassen. heise berichtete hier von Informationen, dass verschiedene europäische Hochleistungsrechenzentren in den vergangenen Tagen den Zugriff auf ihre Rechenkapazitäten mit dem Hinweis auf "Sicherheitsprobleme" gestoppt haben.
- Leibniz Supercomputing Center (LSC) in Garching schreibt auf seiner Statusseite am 14. Mai 2020: Wir können einen Sicherheitsvorfall bestätigen, von dem unsere Hochleistungsrechner betroffen sind. Sicherheitshalber haben wir deshalb die betroffenen Maschinen von der Außenwelt abgeschottet. Die Benutzer und die zuständigen Behörden sind informiert. Wir halten Sie über weitere Details auf dem Laufenden, bitten jedoch um Verständnis, dass wir keine Aussagen machen, so lange wir die Lage noch untersuchen. Wir sind zudem in engem Austausch mit unseren Partnern beim Gauss Supercomputing Centre und der Gauss-Allianz, sowie unseren europäischen Partnern bei PRACE.
- Der Hochleistungsrechner Hawk am Stuttgarter Höchstleistungsrechenzentrum (HLRS) ist laut einer Statusmeldung vom 10. Mai 2020 'wegen eines Sicherheitsvorfalls abgeschaltet' (Hawk was shut down due to a security incident).
- Die Statusseite des Rechenzentrums in Jülich meldet, dass das System wegen eines IT-Sicherheitsvorfalls nicht verfügbar sei (Due to an IT security incident, the system is currently unavailable.)
Details werden von den Rechenzentren keine genannt – aber es sind wohl weitere europäische Supercomputer betroffen. heise erwähnt Rechenzentren in Schottland, die angeben, dass mehrere Rechner im Vereinigten Königreich und anderswo in Europa kompromittiert worden seien. Nutzer der Hochleistungsrechner bwUniCluster 2.0 und ForHLR II am Karlsruher Institut für Technologie (KIT) wurden vom Betreiber per E-Mail über einen "schweren Sicherheitsvorfall" informiert. Die Systeme seien durch Angriffe über gestohlene Nutzer-Accountdaten kompromittiert worden. Eine schnelle Behebung des Problems sei nach aktuellem Kenntnisstand unwahrscheinlich.
In Fefes-Blog hat Felix von Leitner einige Stimmen aus der Gemeinde der betroffenen Forscher gesammelt. Dort wird eine Quelle aus Jülich mit der Information 'A backdoor was identified on several of our HPC systems.' zitiert. Dort spekuliert jemand, dass der Angriff über die Salt-Sicherheitslücke erfolgt sein könnte (siehe meinen Blog-Beitrag Sicherheitsmeldungen 5. Mai 2020 und LineageOS-Server am 2. Mai 2020 gehackt).
Spekulationen über den Zweck des Hacks
Es gibt Spekulationen, dass China Spionage betreibe und an Daten zur Forschung an Covid-19-Therapien herankommen wolle. SPON berichtet hier aber, dass die Angriffe schon vor Monaten über einen gekaperten Account begonnen hätten, aber lange unentdeckt blieben. Laut diesem SPON-Artikel sind sechs Supercomputer in Deutschland kompromittiert. In der Süddeutsche Zeitung wird Dieter Kranzlmüller, Leiter des Leibniz-Rechenzentrums in Garching bei München, zitiert, dass es den Hackern durch die enge Vernetzung der Supercomputer ermöglicht wurde, auch in andere Rechenzentren einzudringen. Das bedeutet, dass viele Rechenzentren mit diesen Hochleistungsrechnern (Cray) betroffen sind.
Welchen Schaden die Hacker angerichtet haben, scheint aktuell unklar. "Aus den sogenannten Logfiles, die Aktivitäten auf den Computern erfassen, sei nicht ersichtlich, dass größere Datenmengen abgeflossen seien", wird Kranzlmüller zitiert. Und weiter: "Die Maschinen arbeiten weiter, aber sind von der Außenwelt abgeschnitten." Der Grund: Die Betreiber haben die Verbindung zur Außenwelt gekappt, d.h. die Forscher können nicht mehr auf die Rechner zugreifen, die Projekte sind zum Stillstand gekommen. Daher rätseln die Betreiber, was die Angreifer mit der implementierten Backdoor vor hatten. Denn die erbeuteten Daten sind für die Hacker nutzlos, da nur die Forscher deren Bedeutung durch die Simulationsmodelle kennen. Und die Forscher veröffentlichen die Ergebnisse, sobald diese vorliegen.
Krypto-Geld geschürft
Ergänzung: Nachdem der Beitrag hier erschienen ist, hat Catalin Cimpanu das Thema aufgegriffen (siehe nachfolgender Tweet).
Supercomputers hacked across Europe to mine cryptocurrency
– Confirmed intrusions at supercomputers in the UK, Germany, Switzerland
– Unconfirmed intrusion at a supercomputer in Spainhttps://t.co/C5IvEZopgw pic.twitter.com/AEkahV0Lti— Catalin Cimpanu (@campuscodi) May 16, 2020
Zum Samstag Morgen hat das Computer Security Incident Response Team (CSIRT) für die European Grid Infrastructure (EGI), eine gesamteuropäische Organisation, die die Forschung an Supercomputern in Europa koordiniert, Malware-Samples und Indikatoren für Netzwerk-Kompromittierungen aus einigen dieser Vorfälle veröffentlicht.
Anzeige
Die Malware-Beispiele wurden von Cado Security, einer in den USA ansässigen Cyber-Sicherheitsfirma, überprüft. Das Unternehmen gibt an, dass die Angreifer sich offenbar über kompromittierte SSH-Zugangsdaten Zugang zu den Supercomputer-Clustern verschafft haben. Die Zugangsdaten scheinen von Universitätsangehörigen aus Universitäten in Kanada, China und Polen gestohlen worden zu sein. Diese hatten Zugang zu den Supercomputern, um Rechenaufträge auszuführen.
Chris Doman, Mitbegründer von Cado Security, gab gegenüber ZDNet an, dass es zwar keine offiziellen Beweise dafür gebe, dass alle Einbrüche von derselben Gruppe durchgeführt wurden. Ähnliche Malware-Dateinamen und Netzwerkindikatoren hindeuteten aber darauf , dass es sich um denselben Angreifer handeln könnte.
Laut Domans Analyse scheinen die Angreifer, sobald sie Zugang zu einem Supercomputer-Knotenpunkt erlangt hatten, einen Exploit für die Schwachstelle CVE-2019-15666 im Linux-Kernel genutzt zu haben, um Root-Zugriff zu erlangen und dann eine Anwendung einzusetzen, die die Krypto-Währung Monero (XMR) schürft. Auf Github gibt es noch einige Infos, wenn ich diesen Tweet richtig interpretiere.
YARA rules to detect Linux malware used in attacks on academic data centreshttps://t.co/Qsfxehkz8b pic.twitter.com/oN0zuRtkJ0
— Florian Roth (@cyb3rops) May 16, 2020
2015
China kann sein, ich gehe eher von Russland oder noch eher von der USA aus.
Bei allen dreien wurde die Gefährlichkeit des Virus verleugnet und jetzt wollen sie schnelle Erfolge egal wie. Da wird alles eingesetzt was man hat.
Das schnüffeln bei der Forschung ist ja schon lange ein Thema, jetzt muss es halt schnell gehen.
Sehe ich genau so.
Peinlich das Ganze für Europa.
Israel gehört auch zu den Spionagefreudigen.
Nur ein paar Gedanken …
Schnüffeln tun sie alle und nennen es Informationbeschaffung oder ähnlich.
Ob der konkrete Vorfall unter dem Motto "America first" oder jemand anderes die rote Linie überschritt wird schwer zu beweisen sein.
In einer Richtung, Abhören unter Freunden ging ja so garnicht, würde das dann wohl im Sande verlaufen, in anderem Fall wohl weltpolitisch ausgeschlachtet werden.
Neben den Infos, mit denen nicht jeder direkt etwas anfangen kann, gibt es da Rechenleistung. Vieleicht wollte auch jemand Moneros o.ä. schürfen, wobei das eher blauäugig wäre, die Rechenlast würde schnell auffallen und der Traum vom Reichtum schnell geerdet.
Zum Schluß wars vielleicht der Weihnachtsmann weil er Speicherplatz für die immer größer werdende Geschenkeliste braucht. Schließlich sollte die Einnahme von Desinfektionsmitteln hilfreich sein und wenn das schon hilft, dann gibts ganz betimmt auch den Weihnachtsmann.
Die Computer wurden nicht heruntergefahren, die Zugänge der Anwender wurden gesperrt. Es können keine neuen Aufträge in die Warteschlange gestellt werden und die Ergebnisse erledigter Aufträge können nicht ausgewertet werden.
Als ich den Beitrag von Günter gelesen habe, habe ich mir schon gedacht, dass es was mit Schürfen von Krypowährung zusammenhängen kann. Jetzt ist es wohl so, wie Günter schreibt.
Warum kam ich auf die Vermutung? Weil paar Tage davor ein Beitrag im Deutschlandfunk über das Thema Kryptowöhrung und CODIV-19 kam. Es kam am 12.05.2020, hier ist der Beitrag mit Audiolink:
https://www.deutschlandfunk.de/kryptowaehrungen-bitcoin-halving-warum-die-produktion.766.de.html?dram:article_id=476523
Bei Deutschlandfunk Kultur ist dieser interessanter Beitrag vom 21.04.2020 mit Audiolink:
https://www.deutschlandfunkkultur.de/bitcoin-handel-in-coronazeiten-steigt-der-phoenix-doch-noch.1005.de.html?dram:article_id=475002
Die entscheidende Frage in Deutschland ist aber = Wie werden diese Hochleistungsrechner eigentlich geschützt, dass diese so angegriffen werden? Das ist doch die Frage.