研究人员发现上周欧洲多个用于科研项目的高性能计算机(HPC)和数据中心由于发生网络安全事件被迫关闭。位于德国、英国和瑞士的数十个超级计算机受到影响,科研项目被迫暂停。其中有的计算机早在今年1月就被黑了。
超级计算机是构建在传统硬件上的非常强大的系统,用来执行高度计算。主要用于科学计算和测试复杂的物理现象和设计的数学模型。
德国服务器集群被黑
上周一,因受到网络攻击,德国和英国的超级计算机被迫关闭。5月11日,由于登陆节点的安全漏洞利用导致英国国家超算服务ARCHER暂停服务。官方发布消息称,已提交的任务仍将正常运行,但无法登陆或提交新的任务。此外,口令和SSH key将被重置。服务重启开始后,用户登陆时需要2个凭证:含有passphrase(密码)的SSH key和新的ARCHER口令。
位于德国的Baden-Württemberg High Performance Computing (bwHPC)项目同日也称遭遇了网络安全事件,使得5个服务器集群无法使用,恢复事件待定,包括:
- 卡尔斯鲁厄理工学院的bwUniCluster 2.0
- 卡尔斯鲁厄理工学院的ForHLR II
- 用于化学应用的bwForCluster JUSTUS
- 位于University of Tübingen的bwForCluster BinAC,用于生物信息学和航天项目
- Hawk,今年2月和斯图加特的高性能计算中心合并。
同日,位于德国的Jülich Supercomputing Centre (JSC)也发布消息称由于IT安全事件导致JURECA、JUDA、JUWELS超级计算机无法使用。
据SPIEGEL记者Patrick Beuth统计,截至上周末,德国至少有9个超级计算机受到了网络攻击的影响。
上周六,瑞士科学计算中心Swiss Center of Scientific Computations (CSCS)通知用户称由于在系统中检测到恶意活动,许多高性能计算机、学术数据中心都暂时无法访问。
加密货币挖矿
欧洲网格基础设施(EGI,European Grid Infrastructure)在近日发布的一份公告中详细介绍了两起攻击学术数据中心的网络攻击,并分析其来自同一攻击者。
在这两起攻击活动中,攻击者使用窃取的SSH凭证来滥用CPU资源来进行门罗币挖矿。一些主机被用于挖矿,而另外一些主机则被用作连接到挖矿服务器的代理。
EGI的计算机安全响应组(CSIRT)发现其中一起攻击活动中,恶意挖矿活动还被配置为只在夜晚运行,主要是为了防止被检测到。CSIRT发布的技术细节和IoC表明受害者分布于中国、美国和欧洲等国家和地区。
恶意软件
CrowdStrike安全研究人员称恶意软件的一个组件有root权限,可以加载其他程序;另外一个组件用来移除log数据中的痕迹。研究人员称这两个组件都是ELF64二进制文件,加载器位于“/etc/fonts/.fonts”,日志清除器位于“/etc/fonts/.low”。
位于美国的网络安全公司对这两个恶意软件组件进行了分析,发现恶意软件已经被德国、英国、瑞士和西班牙的用户上传到了VirusTotal。
此外,还有安全研究人员发布博文称位于位于波兰的超级计算机也受到了网络攻击。