上周欧洲包括英国、瑞士、德国、西班牙等国家,先后传出超级计算机被植入挖矿程序病毒,而暂停运营或对外连接。
首先是英国超级计算机服务ARCHER于5月11日公告,ARCHER因登录节点的安全入侵事故而关闭,由负责管理的爱丁堡并行计算中心及硬件商HP/Cray进行调查。ARCHER并在5月13日要求用户,重设所有ARCHER密码及SSH密钥。
同一天德国贝登符腾堡邦也宣布全邦高性能计算系统(HPC)发生IT安全事件,导致5所大学的超级计算机无法使用。德国巴伐利亚科学院下的莱布尼兹运算中心周四公告,因安全事件波及超级计算机,为防进一步感染,当局已切断3台超级计算机和外界的连接。
无独有偶,周六瑞士科学计算中心(CSCS)也公告,侦测到和前述事件相关的攻击,也采取切断外部连接的处置并通知受影响的单位。目前仅CSCS的天气预测系统MetoSwiss未受影响。
此外,西班牙巴塞罗那的超级计算机,及慕尼黑大学物理学院高速运算集群,上周也先后被安全研究人员披露,发生恶意程序攻击而关闭的消息。
所有受害的研究机构皆未再公布调查结果,但欧洲网格基础架构(EGI)计算机安全事件回应小组(CSIRT),则公布两起波及多国超级计算机的网络攻击事件。攻击者利用外泄的SSH帐密由一家研究机构跳到另一家,操控受黑超级计算机执行Monero币(XMR)的采矿,或当成代理服务器或Tunnel连接主机,用以迂回连到真正的挖矿主机,或是以SSH连接登录其他超级计算机。
美国安全厂商Cado Security则指出,两起事件的样本分别为Loader和Cleaner,前者用以执行攻击者的指令,后者则还能移除log档以删除攻击证据。至少在英国一案中,攻击者是开采了超级计算机CVE-2019-15666漏洞,而取得权限升级。
EGI分析,黑客窃取了波兰与加拿大当地大学、中国上海交通大学以及中国科学技术网(CSTNet)最初的SSH帐密,由此登录超级计算机集群向其他机构发动攻击。
这不是第一次超级计算机被用来挖矿。ZDNet报道,俄罗斯核子中心及澳洲气象局的超级计算机,在2018年都发生被用来挖矿的安全事件,但是内部员工所为。近期欧洲地区多台超级计算机被植入挖矿程序事件,却是由黑客所犯下。