欧洲各地的超级计算机被黑以挖掘加密货币

本周，欧洲多台超级计算机感染了加密货币挖掘恶意软件，并已关闭以调查入侵事件。

据报道，英国、德国和瑞士都发生了安全事件，而西班牙的一个高性能计算中心也发生了类似的入侵事件。

周一，由阿彻超级计算机(ARCHER supercomputer)运行的爱丁堡大学(University of Edinburgh)发布了第一份攻击报告。该组织报告了“对ARCHER登录节点的安全利用”，关闭了ARCHER系统进行调查，并重置SSH密码以防止进一步入侵。

协调德国巴登-符腾堡州超级计算机研究项目的bwHPC组织也在周一宣布，由于类似的“安全事故”，其5个高性能计算集群不得不关闭。这包括:

周三，安全研究人员Felix von Leitner在一篇博客文章中称，西班牙巴塞罗那的一台超级计算机也受到了安全问题的影响，因此被关闭。

第二天，也就是周四，又有更多的事件浮出水面。第一个来自巴伐利亚科学院下属的莱布尼茨计算中心(LRZ)，该中心表示，由于安全漏洞，一个计算集群与互联网断开了连接。

当天晚些时候，德国Julich镇的Julich研究中心又宣布了LRZ计划。官员们表示，在发生“IT安全事故”后，他们不得不关闭了JURECA、JUDAC和JUWELS的超级计算机。德累斯顿的技术大学也是如此，他们宣布他们也必须关闭他们的金牛座超级计算机。

今天，周六，新的事件也浮出水面。德国科学家Robert Helling发表了一篇关于恶意软件的分析，该恶意软件感染了位于德国慕尼黑的路德维希-马克西米利安大学物理系的一个高性能计算集群。

位于瑞士苏黎世的瑞士科学计算中心(CSCS)也在一次“网络事件”之后关闭了对其超级计算机基础设施的外部访问，“直到恢复了一个安全的环境”。

上述组织都没有公布任何有关入侵的细节。然而，今天早些时候，欧洲电网基础设施(EGI)的计算机安全事故响应小组(CSIRT)，一个协调欧洲各地超级计算机研究的泛欧洲组织，发布了一些此类事件的恶意软件样本和网络危害指标。

今天早些时候，英国网络安全公司Cado Security审查了这些恶意软件样本。该公司表示，攻击者似乎通过破坏SSH凭证获得了访问超级计算机集群的权限。

这些证书似乎是从大学成员那里偷来的，他们被允许使用超级计算机来运行计算任务。被劫持的SSH登录属于加拿大、和波兰的大学。

Cado Security的联合创始人克里斯·多曼(Chris Doman)今天告诉ZDNet，虽然没有官方证据证实所有入侵都是由同一个组织实施的，但类似的恶意软件文件名和网络指示器等证据表明，这可能是同一个威胁行为者。

根据Doman的分析，一旦攻击者获得了对超级计算节点的访问权，他们似乎利用了CVE-2019-15666漏洞来获得根访问权，然后部署了一个挖掘Monero (XMR)加密货币的应用程序。

更糟糕的是，许多拥有超级计算机的组织在本周已经宣布，他们在前几周已经优先考虑对COVID-19疫情的研究，而现在，由于病毒入侵和随后的停机，疫情很可能受到了阻碍。

这些事件并不是第一次在超级计算机上安装密码挖掘恶意软件。然而，这是黑客第一次这么做。在以前的事件中，通常是一名员工为了自己的个人利益而安装了cryptocurrency miner。

例如，2018年2月，俄罗斯当局逮捕了俄罗斯核中心的工程师，他们使用该机构的超级计算机来开采加密货币。

一个月后，澳大利亚官员开始对气象局(Bureau of meteorological administration)的一起类似案件展开调查，该局雇员利用该局的超级计算机挖掘加密货币。