2. Hírek
  3. Biztonság

Szuperszámítógépeket fertőztek meg, hogy bányászhassanak

Lopott azonosítási adatokkal jutottak be a célba vett rendszerekbe, hogy az erőforrásokat azután pénzszerzésre használják fel.

A múlt hét végén érkeztek meg azok a híradások, hogy szerte Európában több nagy teljesítményű, speciális szuperszámítógépet fertőztek meg ismeretlenek kártékony programokkal, és a támadók célja minden bizonnyal az volt, hogy a különleges erőforrásokat kriptovaluta bányászására használják fel. Egymáshoz hasonló jelentések érkeztek az Egyesült Királyságból, Németországból, Svájcból, illetve meg nem erősített hírek szerint egy spanyol számítástechnikai központ is áldozatul esett.

Az első riport hétfőn jelent meg, az Edinburgh-i Egyetem adta ki, akik egy ARCHER szuperszámítógépet használnak. Azt írták, hogy illetéktelen belépéseket fedeztek fel, ezért a vizsgálat idejére lezárták a rendszert, illetve törölték az SSH-jelszavakat, hogy megakadályozzák az újabb behatolásokat.

Hirdetés

Ugyancsak hétfőn érkezett egy jelentés Németországból is: a bwHPC – mely szervezet a szuperszámítógépes projekteket koordinálja Baden-Württemberg tartományban – közölte, hogy nagyteljesítményű klasztereikből ötöt a skóciai fővárosban történt biztonsági incidenshez hasonló behatolások miatt le kellett zárniuk (egyet-egyet Stuttgartban, Ulmban, valamint Tübingenben, illetve kettőt Karlsruhéban).

Szerdán Felix von Leitner biztonsági szakértő arról írt blogjában, hogy egy barcelonai gép is érintett. Csütörtökön a bajor Leibniz számítóközpontból érkezett jelentés egy klaszter lezárásáról, majd a német Julich kutatóközpont jelentette be, hogy le kellett állítaniuk három szuperszámítógépet (JURECA, JUDAC, JUWELS) egy „biztonsági incidens” miatt – és még ekkor sem volt vége a csütörtöknek: a drezdai műszaki egyetem is jelezte, hogy leállították Taurus szuperszámítógépüket.

Szombaton Robert Helling német kutató publikált egy esettanulmányt, mely egy müncheni egyetemen történt incidenst tárt fel, majd a svájci CSCS számítóközpont jelentette be, hogy leállították szuperszámítógépüket.

A szervezetek részleteket nem közöltek, de az európai szuperszámítógépes kutatásokat koordináló European Grid Infrastructure (EGI) biztonsági szervezete (Computer Security Incident Response Team – CSIRT) kiadott néhány mintát és jellemzőt. Ezek elemzése azt mutatja, hogy a támadók kompromittálódott SSH bejelentkezési adatok alapján jutottak be a rendszerekbe. Úgy tűnik, tudósoktól lopták el a loginadatokat, méghozzá kínai, lengyel és kanadai egyetemi kutatóktól. Egyelőre nincs közvetlen bizonyíték arra, hogy az összes behatolásért ugyanaz a csoport lenne felelős – de a jelek alapján elég valószínű, hogy így történt.

A támadók helyzetüket arra használták fel, hogy egy ismert sérülékenységet kihasználva root-hozzáféréshez juttassanak, majd telepítettek egy Monero kriptopénzt bányászó alkalmazást.

Nem ez az első eset, hogy valaki illetéktelenül bányászatra használja fel egy szuperszámítógép képességeit – ám mindeddig mindig a géphez legálisan hozzáférő alkalmazottak, kutatók tették ezt. Az európai támadássorozat az első ismert hackertámadás, melynek célja bányászat volt.

Azóta történt

Előzmények