|
Research
|
Blog
|
Newsletter
|
Websession
|
EN

Supercomputer zum Schürfen von Monero missbraucht

20. Mai 2020

Wer heute eine der bekannten Kryptowährungen schürfen will, benötigt entweder sehr viel Geduld oder immense Rechenpower. Supercomputer, also extrem leistungsstarke Geräte, die normalerweise in Forschungseinrichtungen oder großen Unternehmen zum Einsatz kommen, bieten genau das, sind jedoch für Privatpersonen unerschwinglich. Für einige Hacker scheint das allerdings kein Problem zu sein, sich der Rechenleistung genau solcher Hochleistungsgeräte zu bemächtigen: Sie haben in den vergangenen Tagen gleich mehrere Supercomputer in Europa gehackt und eine Malware installiert, die die Kryptowährung Monero schürft.

In Großbritannien, Deutschland und der Schweiz wurden Sicherheitsvorfälle gemeldet. Zudem besteht der dringende Verdacht, dass ein ähnlicher Eingriff auch in einem Hochleistungsrechenzentrum in Spanien stattgefunden hat. Los ging es bereits am vergangenen Montag, als die University of Edinburgh bekannt gab, dass der ARCHER Supercomputer aufgrund eines Sicherheitsvorfalls heruntergefahren und SSH-Kennwörter zurückgesetzt werden mussten. SSH oder Secure Shell bezeichnet ein Netzwerkprotokoll über das man eine verschlüsselte und damit sichere Netzwerkverbindung mit einem entfernten Gerät herstellen kann.
Ebenfalls am Montag musste die bwHPC, eine Organisation, die Forschungsprojekte über Supercomputer in Baden-Württemberg koordiniert, aufgrund ähnlicher Vorfälle fünf ihrer Hochleistungs-Computercluster herunterfahren. Eine weitere Meldung folgte bereits am Mittwoch, als Sicherheitsforscher Felix von Leitner in einem Blogbeitrag behauptete, ein Supercomputer in Barcelona sei ebenfalls nach einem Sicherheitsproblem heruntergefahren worden. Nur einen Tag später wurde ein weiterer Vorfall am Leibniz Supercomputing Center (LRZ), einem Institut der Bayerischen Akademie der Wissenschaften, bekannt, das nach einer Sicherheitsverletzung einen Computercluster vom Internet getrennt hatte. Auch am Freitag waren die Kriminellen aktiv, denn nun musste das Jülich-Forschungszentrum drei seiner Supercomputer namens JURECA, JUDAC und JUWELS nach einem Sicherheitsvorfall herunterfahren.

Selbst am Wochenende kehrte keine Ruhe ein. Der deutsche Wissenschaftler Robert Helling veröffentlichte eine Untersuchung der Malware, die kurz zuvor an der Fakultät für Physik der Ludwig-Maximilian-Universität in München ein Hochleistungsrechnercluster infiziert hatte. Hinzu kam am Samstag eine Meldung aus der Schweiz vom Schweizerischen Zentrum für wissenschaftliche Berechnungen (CSCS) in Zürich. Dort wurden nach einem Cybervorfall und bis zur Wiederherstellung einer sicheren Umgebung der externe Zugang zu seiner Supercomputer-Infrastruktur gesperrt und die Nutzer informiert.

In allen Fällen scheinen die Angreifer über kompromittierte SSH-Anmeldungen Zugang erhalten zu haben, allerdings hat bislang keine der betroffenen Einrichtungen Details zu den Angriffen veröffentlicht. Das Computer Security Incident Response Team (CSIRT) für die European Grid Infrastructure (EGI), eine europaweite Organisation, die die Forschung zu Supercomputern in ganz Europa koordiniert, hat jedoch bereits Malware-Beispiele und Indikatoren für kompromittierte Netzwerke für einige der Vorfälle veröffentlicht.

Diese Malware-Beispiele wurden von Cado Security, einem in den USA ansässigen Cyber-Sicherheitsunternehmen, überprüft. Laut der Analyse der Sicherheitsexperten haben die Angreifer offenbar kompromittierte SSH-Anmeldeinformationen genutzt, um sich Zugriff auf die Supercomputer zu verschaffen. Diese Nutzerdaten wurden wahrscheinlich bei berechtigten Nutzern der Supercomputer ausgespäht oder gestohlen. Die betroffenen SSH-Logins konnten Universitäten in Kanada, China und Polen zugeordnet werden. Darüber hinaus ergab die Analyse der Sicherheitsforscher, dass es sich höchstwahrscheinlich in allen Fällen um ein und dieselbe Hackergruppe handelt, obwohl ein endgültiger Beweis dafür noch aussteht. Laut Analyse nutzten die Angreifer, sobald sie Zugriff auf einen Supercomputing-Knoten erhalten haben, anscheinend einen Exploit für die Sicherheitsanfälligkeit CVE-2019-15666, um sich Root-Zugriff zu verschaffen. Im Anschluss wurde eine Malware installiert, die die Kryptowährung Monero (XMR) abbaut.

Es ist nicht das erste Mal, das Supercomputer für das Schürfen von Kryptowährungen missbraucht wurden, allerdings handelt es sich um den ersten bekannten Fall, bei dem sich Hacker von außen Zugriff verschafft haben. Bislang handelte es sich bei den Tätern immer um Mitarbeiter, die direkten Zugriff auf den Supercomputer hatten. Besonders im aktuellen Fall sind auch die Konsequenzen der Angriffe, denn viele der angegriffenen Organisationen hatten in den vergangenen Wochen die Leistung ihrer Supercomputer stark auf die Forschung an COVID-19 konzentriert. Möglicherweise können sich also durch die Eindringlinge auch wichtige Ergebnisse dieser Forschung verzögern.

Bild (c) 272447 / Pixabay

Zurück zur Blog-übersicht
Zurück zuM Research-Blog
Alle Mitarbeiter-Interviews
Security Services
Managed Security Services
Security Operations Center
SIEM as a Service
EDR as a Service
Vulnerabilty Management as a Service
Penetration Testing
Security Awareness
8com Academy - E-Learning
Was uns ausmacht
Cyber Defense Center
Über uns
Kontakt & mehr
Kontakt
Karriere
Pressebereich
Blog
Rechtliches
Datenschutzerklärung
Impressum
AGB
HinSchG-Vereinbarung
Webpräsenz der Allianz für Cyber-Sicherheit
ISO 27001 Zertifikat auf Basis von BSI IT-Grundschutz
Die Kernprozesse des Security Operations Center (SOC) der 8com GmbH & Co. KG: Security Information and Event Management (SIEM) as a Service, Endpoint Detection and Response (EDR) as a Service, Vulnerability Management as a Service als Managed Security Services für Geschäftskunden und Behörden.
Mehr Informationen